JP2016515784A5 - - Google Patents
Download PDFInfo
- Publication number
- JP2016515784A5 JP2016515784A5 JP2016506316A JP2016506316A JP2016515784A5 JP 2016515784 A5 JP2016515784 A5 JP 2016515784A5 JP 2016506316 A JP2016506316 A JP 2016506316A JP 2016506316 A JP2016506316 A JP 2016506316A JP 2016515784 A5 JP2016515784 A5 JP 2016515784A5
- Authority
- JP
- Japan
- Prior art keywords
- access
- directory
- information
- policy
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims description 38
- 230000015654 memory Effects 0.000 claims description 14
- 238000000034 method Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 8
- 230000001276 controlling effect Effects 0.000 claims description 7
- 235000010384 tocopherol Nutrition 0.000 claims description 5
- 235000019731 tricalcium phosphate Nutrition 0.000 claims description 5
- 230000000737 periodic Effects 0.000 claims description 4
- 230000003139 buffering Effects 0.000 claims 1
- 230000000875 corresponding Effects 0.000 claims 1
- 230000003362 replicative Effects 0.000 claims 1
- 238000005516 engineering process Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 3
- 239000000945 filler Substances 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 241000282412 Homo Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 229930002945 all-trans-retinaldehyde Natural products 0.000 description 1
- VYZAMTAEIAYCRO-UHFFFAOYSA-N chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006011 modification reaction Methods 0.000 description 1
- 230000003287 optical Effects 0.000 description 1
- 230000002093 peripheral Effects 0.000 description 1
- 230000002085 persistent Effects 0.000 description 1
- 230000002207 retinal Effects 0.000 description 1
- 235000020945 retinal Nutrition 0.000 description 1
- 239000011604 retinal Substances 0.000 description 1
- 230000002104 routine Effects 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Description
本発明は、自己プロビジョニングアクセス制御に関する。 The present invention relates to self-provisioning access control.
アクセス制御システムは、建物、建物内の部屋、又は入る許可を持つ人々のみに対する囲まれた領域などの、包囲されたエリアへの侵入を制限する場合がある。最新のアクセス制御システムは、建物の侵入ポイント(即ち、ドア)にアクセス・カード・リーダを備える。建物に入る許可を持つ個人は、アクセス・カード・リーダによって読み取られ得るアクセス制御カードを提供される。アクセス・カード・リーダは、アクセス・カードから情報を得て、制御パネルに情報を通信する。制御パネルは、ドアが解錠されるべきかどうか判定する。ドアが解錠されなければならない場合(即ち、アクセス・カードは、侵入する許可を持つ個人に関係している)、制御パネルはドアロック機構に信号を送信して、機構に解錠を行わせる。 The access control system may limit entry into an enclosed area, such as a building, a room in the building, or an enclosed area only for people with permission to enter. Modern access control systems include access card readers at building entry points (ie, doors). Individuals with permission to enter the building are provided with an access control card that can be read by an access card reader. The access card reader obtains information from the access card and communicates the information to the control panel. The control panel determines whether the door should be unlocked. If the door must be unlocked (ie, the access card is associated with an individual with permission to enter), the control panel sends a signal to the door lock mechanism to cause the mechanism to unlock .
包囲されたエリアへのアクセスを制御するための、プロセッサにより実行されるアクセス制御方法は、アクセスコントローラによるディレクトリの周期的な自動化したクエリを介してアクセスコントローラの自己プロビジョニングを可能にするようにアクセスコントローラを構成するために、信用証明書及びポリシーのディレクトリ情報を受信する工程;包囲されたエリアへのアクセスを必要とし得る1以上の個人に関する信用証明書及びポリシー情報を、ディレクトリから獲得する工程;獲得した信用証明書及びポリシー情報をローカルキャッシュに保存する工程;包囲されたエリアへの個人のアクセスを許可するためにアクセス要求を受信する工程;アクセス要求を、キャッシュにおける信用証明書及びポリシー情報と比較する工程;及び、比較が一致を示す場合に、包囲されたエリアへの個人のアクセスを認める工程を含む。 For controlling access to enclosed areas, access control method executed by the processor, the access controller to enable self-provisioning of the access controller via a query periodically automated directory by access controller Receiving credential and policy directory information to construct a domain; obtaining credential and policy information from the directory for one or more individuals that may require access to the enclosed area; Storing the received credential and policy information in a local cache; receiving an access request to authorize personal access to the enclosed area; and comparing the access request with the credential and policy information in the cache And , To indicate comparison match, comprising the step of grant individuals access to enclosed areas.
個人によるエリアへのアクセスを制御するためのシステムは、コンピュータ可読記憶媒体に具現化されるプロセッサ及びアクセスコントローラを備え、アクセスコントローラは機械命令を含み、該機械命令は、プロセッサにより実行された場合、アクセスコントローラによるディレクトリの周期的な自動化したクエリを介してアクセスコントローラの自己プロビジョニング
を可能にするために、リモートディレクトリからの信用証明書及びポリシーのディレクトリ情報、並びに、エリアへのアクセスを必要とし得る1以上の個人に関する、ディレクトリからの信用証明書及びポリシー情報を受信するようにアクセスコントローラを構成すること、ディレクトリの受信獲得した信用証明書及びポリシー情報、並びに、1以上の個人の信用証明書及びポリシー情報を、ローカルキャッシュに保存すること、包囲されたエリアへの個人のアクセスを許可するためにアクセス要求を受信すること、アクセス要求を、キャッシュにおける信用証明書及びポリシー情報と比較すること、及び、比較が一致を示す場合に、包囲されたエリアへの個人のアクセスを認めることを、プロセッサに行わせる。
A system for controlling access to an area by an individual includes a processor and an access controller embodied in a computer-readable storage medium, the access controller including machine instructions, when the machine instructions are executed by the processor, to enable self provisioning access controller via a query periodically automated directory by access controller may credentials and policies directory information from the remote directory, and requires access to the area 1 about or more individuals, configuring the access controller to receive the credential and policy information from the directory, credential and policy information received acquired directory, and one or more personal credential Storing policy information in a local cache, receiving an access request to allow personal access to the enclosed area, comparing the access request with credentials and policy information in the cache; And if the comparison indicates a match, the processor is allowed to grant individual access to the enclosed area.
個人による資産へのアクセスを制御するためのアクセスコントローラを構成するための、プロセッサにより実行される方法は、資産へのアクセスを要求する個人に関する信用証明書及びポリシー情報をプロセッサが得る、信用証明書及びポリシーのディレクトリアドレスを受信する工程;信用証明書及びポリシー情報に関する宛先アドレスを受信する工程;信用証明書及びポリシー情報を獲得するための周期性を確立する工程;資産へのアクセスを必要とする個人に関する信用証明書及びポリシー情報を獲得する工程;及び、確立された周期性で資産へのアクセスを必要とする個人に関する信用証明書及びポリシー情報を自動的に更新する工程を含む。 A method performed by a processor for configuring an access controller to control access to an asset by an individual is a credential in which the processor obtains credential and policy information about the individual requesting access to the asset And receiving a policy directory address; receiving a destination address for credentials and policy information; establishing periodicity for obtaining credentials and policy information; requiring access to assets Obtaining credential and policy information about the individual; and automatically updating the credential and policy information about the individual that requires access to the asset with an established periodicity.
自己プロビジョニング/自己レポーティングアクセスコントローラは、資産へのアクセスを制御するための機械命令を保存するための手段、及び、機械命令を実行するための手段を含む。実行するための手段は、自己プロビジョニングを行うための手段、機械命令を実行するための手段、資産へのアクセスを認める/拒否するための手段、及び、資産へのアクセスを認める及び拒否することに関連した事象を報告するための手段を含む。 The self-provisioning / self-reporting access controller includes means for storing machine instructions for controlling access to assets and means for executing the machine instructions. Means for performing means for self-provisioning, means for executing machine instructions, means for granting / denying access to the asset, and granting and denying access to the asset Includes means for reporting relevant events.
詳細な記載は、同様の数字が同様のものを指す以下の図面について言及する:
認可された個人のみが、保護され又は確保されたエリアにアクセスすることを確実にすることは、極めて重要な場合がある(例えば、空港、軍事施設、オフィスビル等において)。保護され又は確保されたエリアは、物理的なドア(例えば、人間が入るドア)及び壁によって画定され得るか、又は、別の方法で実質的に画定され得る。例えば、保護された領域は、無許可の侵入が検出器に信号妨害を生じさせ、且つ、許可が与えられていない場合に恐らく信号を送信するか又は警報を鳴らすものとして、画定され得る。 Ensuring that only authorized individuals have access to protected or secured areas can be extremely important (eg, in airports, military facilities, office buildings, etc.). The protected or secured area may be defined by physical doors (eg, doors into which humans enter) and walls, or may be substantially defined otherwise. For example, a protected area may be defined as an unauthorized intrusion causes a signal jam to the detector and possibly sends a signal or sounds an alarm if permission is not granted.
アクセス制御システムは、侵入の許可を持つ個人のみに対して、建物、建物内の部屋、又は囲まれた領域、或いは、その中にある資産及び資源の、保護され又は確保されたエリ
アへの侵入を制限する場合がある。
An access control system can only intrude into a protected or secured area of a building, a room in a building, or an enclosed area, or assets and resources within it, for individuals who have permission to enter. May be limited.
故に、アクセス制御システムは基本的に、確保されたエリアに侵入するか又は資産にアクセスしようと試みる個人を識別して、その個人が現在侵入又はアクセスを許可されているかを確認しなければならない。本明細書に開示されたアクセス制御システム、デバイス、及び方法は、次のものを含む任意のアクセス技術を包含することもある。 Hence, the access control system must basically identify an individual who enters the reserved area or attempts to access the asset to determine whether the individual is currently permitted to enter or access. The access control systems, devices, and methods disclosed herein may encompass any access technology, including:
(1)アクセス・ポイント(例えばドア)に関連付けられたキーパッドで入力することができるPIN及びパスワードの使用; (1) Use of a PIN and password that can be entered on the keypad associated with the access point (eg door);
(2)ドアに関連付けられた特殊なリーダを介して個人が入力することができる生体認証の使用; (2) Use of biometric authentication that can be entered by an individual via a special reader associated with the door;
(3)ドアに関連付けられた特殊なパッドを介して個人により提供される従来の署名の使用; (3) Use of a conventional signature provided by an individual through a special pad associated with the door;
(4)スマートカード又は非接触カードの使用(例えば、特殊なリーダ/受信器を介してドアにPINを送信する); (4) Use of a smart card or contactless card (eg, sending a PIN to the door via a special reader / receiver);
(5)デジタル証明書の使用;例えば、カードリーダ又は他の受信器を介して「ドアに通信する」ことができる、スマートカード、非接触カード、又は無線装置に保存されるもの;及び (5) use of a digital certificate; for example, stored on a smart card, contactless card, or wireless device that can "communicate with the door" via a card reader or other receiver; and
(6)ドアロックに挿入される物理的なキーの使用;そのようなキー/ロックの構造は、ロックの中で読み取られるキーに対する特殊な符号化を含み得る。 (6) Use of a physical key inserted into the door lock; such a key / lock structure may include special encoding for the key read in the lock.
アクセス技術の上記のリストは、完全であることを意味してはいない。更に、設備の中には、これら技術の組み合わせを使用するものもある。この技術は、政府設備、民間企業、公共設備、及び個人の家を含む、任意の環境において使用されることがある。 The above list of access technologies is not meant to be complete. In addition, some equipment uses a combination of these techniques. This technology may be used in any environment, including government equipment, private enterprises, public equipment, and private homes.
上記のアクセス技術の幾つかの更なる説明として、幾つかの最新のアクセス制御システムは、個人がPIN又はパスワードを入力する、キーパッドなどの入力デバイスを備えたドアを使用する。キーパッドは、有効なPIN/パスワードのリストが保存される付属のメモリ又は基本プロセッサを備えており、それにより、PIN/パスワードは、それがまだ有効であるかどうか判定するためにチェックされ得る。PIN/パスワードが有効な場合、ドアが開き、有効でなければ、ドアは施錠されたままである。そのような基本のアクセス制御機構は、最小限のセキュリティを提供する。例えば、末端の従業員は、これ以上ドアを通り抜けることを認められない場合がある。しかし、自身のPINを覚えている末端の従業員は、未だにドアを開けることができる場合がある。それ故、末端の従業員のPINを「デプログラミングする(deprogram)」ことが必要となる。しかし、このような手順は非常に扱いにくく、且つ高価な場合がある:設備は何百ものドアを備えており、従業員が退職する又は解雇される際に常にそのようなドアを全てデプログラミングすることは、非実用的な場合がある。 As a further explanation of some of the above access technologies, some modern access control systems use a door with an input device such as a keypad through which an individual enters a PIN or password. The keypad has an attached memory or basic processor in which a list of valid PIN / passwords is stored, so that the PIN / password can be checked to determine if it is still valid. If the PIN / password is valid, the door opens, otherwise the door remains locked. Such a basic access control mechanism provides minimal security. For example, the end employee may not be allowed to pass any further through the door. However, the end employee who remembers his PIN may still be able to open the door. It is therefore necessary to “deprogram” the PIN of the end employee. However, such procedures can be very cumbersome and expensive: the facility has hundreds of doors, and all such doors are always deprogrammed when employees leave or are fired. It may be impractical to do.
幾つかの最新のカードに基づくアクセス制御システムは、無線周波数識別(RFID)技術を使用する。アクセス・カード・リーダは、RFIDトランシーバを備え、アクセス・カードは、RFIDタグ又はトランスポンダを備える。カードがRFIDトランシーバを通過すると、RFIDトランシーバはカードに無線周波数(RF)クエリを送信する。RFトランスポンダは、カードがRFクエリを受信してそれに応答することを可能にする、シリコンチップ及びアンテナを備える。応答は典型的に、予めプログラムされた識別(
ID)番号を含むRF信号である。カードリーダは、信号を受信し、有線又は無線接続を使用して、制御パネルにID番号を送信する。最新のカードリーダは、制御パネルにデータを送信する前に、識別データの幾つかの基礎的なフォーマットを行なうが、一般的により高度なレベルの機能を行なうことは出来ない。
Some modern card-based access control systems use radio frequency identification (RFID) technology. The access card reader comprises an RFID transceiver and the access card comprises an RFID tag or transponder. As the card passes the RFID transceiver, the RFID transceiver sends a radio frequency (RF) query to the card. The RF transponder comprises a silicon chip and antenna that allows the card to receive and respond to RF queries. The response is typically a pre-programmed identification (
ID) is an RF signal including a number. The card reader receives the signal and sends the ID number to the control panel using a wired or wireless connection. Modern card readers perform some basic formatting of identification data before sending data to the control panel, but generally cannot perform higher level functions.
最新のアクセスコントローラは、信用証明書をプロビジョニング/デプロビジョニング(de−provision)し、構成情報を提供し、取引を報告するために、専用のプロトコル(proprietary protocol)及びソフトウェアに依存する。これら最新のアクセスコントローラの財産的価値は、変更を実施すること、新しい特徴を加えること、及び、特異的なメーカーの製品が選択され且つ設置された場合に他の技術解決策に一般的に移ることに関して、需要者の選択肢を制限する。アクセスコントローラが、RS232/485通信から離れて、TCP/IPネットワーク通信媒体上に移動すると、専用のプロトコルは需要者によって十分に許容されるものではない。 Modern access controllers rely on proprietary protocols and software to provision / de-provision credentials, provide configuration information, and report transactions. The property value of these state-of-the-art access controllers generally shifts to implement other changes, add new features, and other technical solutions when specific manufacturer products are selected and installed. In terms of things, limit consumer choices. As the access controller moves away from RS232 / 485 communication and onto a TCP / IP network communication medium, the dedicated protocol is not well tolerated by consumers.
更に、物理的セキュリティシステムが、機関の情報技術(IT)インフラの信頼を高めると、IT部門は、展開のためのコストと時間を削減するための選択肢を探す場合がある。これは、システムが設置及び通信の両方における基準に従うことを要求する。更なる利益は、基準と民生用の製品とを使用する、論理的セキュリティシステムと物理的セキュリティシステムの間に相互運用性を提供する。 In addition, as physical security systems increase institutional information technology (IT) infrastructure confidence, IT departments may look for options to reduce the cost and time for deployment. This requires that the system comply with standards in both installation and communication. A further benefit provides interoperability between logical and physical security systems using standards and consumer products.
最新のアクセス制御システムに特有のこれら及び他の問題を克服するために、本明細書には、自己プロビジョニングを行うアクセスコントローラ、及び関連するアクセス制御システム、並びにそれらの使用の方法が開示される。本明細書に開示されたアクセスコントローラ、システム、及び方法は、建物、構造物、及びエリアへの物理的なアクセスの制御のために使用され得る。本明細書に開示されたアクセスコントローラ、システム、及び方法は、コンピュータネットワーク上に、分散したアクセス制御のポリシー、手順、及び信用証明書を提供し、その一方で既存の情報技術(IT)インフラを使用する。 To overcome these and other problems specific to modern access control systems, this specification discloses self-provisioning access controllers , and associated access control systems, and methods of their use. The access controllers , systems, and methods disclosed herein can be used for controlling physical access to buildings, structures, and areas. The access controllers , systems, and methods disclosed herein provide distributed access control policies, procedures, and credentials over a computer network, while maintaining existing information technology (IT) infrastructure. use.
物理的エリアなどの資産へのアクセスをプロビジョニング/デプロビジョニングすることに加えて、本明細書に開示されたアクセスコントローラ、システム、及び方法はまた、ファイル、コンピューティングリソース、又は他のコンピューティングシステムなどの論理的資産又は資源へのアクセスを提供するために、ユーザー/信用証明書の証明書ストア(identity store)に論理的な特権をプロビジョニングし得る。更に、論理的資産又は資源へのアクセスは、そのようなアクセスを要求する個人の物理的位置に依存して変わることもある。 In addition to provisioning / deprovisioning access to assets such as physical areas, the access controllers , systems, and methods disclosed herein may also include files, computing resources, or other computing systems, etc. Logical privileges may be provisioned in the user / credential certificate store to provide access to logical assets or resources. Further, access to logical assets or resources may vary depending on the physical location of the individual requesting such access.
アクセスコントローラ、制御システム、及び制御方法は、次の用語に関して以下に記載される: The access controller , control system, and control method are described below with respect to the following terms:
アクセスコントローラ− 証明書ストアにより供給される、キャッシュされた(cached)データベースに基づいてアクセス決定を行うために、プログラム化されたデバイス、又はプログラムそのもの。アクセス要求は感知デバイス(カードリーダ、プッシュボタン等)を介して行われる。許可は、ローカルで、又は、処理のために遠隔の証明書ストアに照会することにより、チェックされる。アクセス要求が承認される場合、出力及び入力デバイス/システム(例えば、入室ドア)は、アクセスを可能にするように操作される。 Access controller— a device programmed to make access decisions based on a cached database supplied by a certificate store, or the program itself. The access request is made via a sensing device (card reader, push button, etc.). Authorization is checked locally or by querying a remote certificate store for processing. If the access request is approved, the output and input device / system (eg, entry door) is manipulated to allow access.
ドアコントローラ− アクセスコントローラと通信し、且つ、信用証明書リーダ及び関連付けた入出力ハードウェアに物理的に(例えば、有線式又は無線式で)取り付けられるデバイス。ドアコントローラは、状態変化及び信用証明書の読み取りをアクセスコントローラに送信し、アクセスコントローラからの許可応答を待ち、そして、許可応答に応じて、取り付けられた入力、出力、及び信用証明書のリーダに命令を行う。 Door controller—A device that communicates with an access controller and is physically attached (eg, wired or wireless) to a credential reader and associated input / output hardware. The door controller sends state changes and credential readings to the access controller , waits for an authorization response from the access controller , and responds to the attached input, output, and credential reader in response to the authorization response. Perform an order.
ブラウザ− インターネットウェブページにアクセスし且つそれを表示するために使用されるソフトウェアプログラム又はファームウェア。最新のブラウザは、Internet Explorer、Google Chrome、Mozilla Firefox、及びApple Safariを含む。 Browser—A software program or firmware used to access and display Internet web pages. Modern browsers include Internet Explorer, Google Chrome, Mozilla Firefox, and Apple Safari.
証明書ストア(又はディレクトリ)− 個人、信用証明書、資源、及びグループメンバーシップに対する許可及び許可データを含む、リレーショナルな、階層的な、ネットワーク化された、或いは他の構造を含むデータベース。証明書ストアは、保護されたエリアを所有する及び/又は操作する実体とは異なる実体によって所有され且つ操作される設備に存在することもある。 Certificate store (or directory) —a database containing relational, hierarchical, networked or other structures containing authorization and authorization data for individuals, credentials, resources, and group membership. The certificate store may reside in a facility that is owned and operated by an entity that is different from the entity that owns and / or operates the protected area.
事象集合− アクセスコントローラを操作する過程で生じるか又は生成される事象を複数のシステムに保存及び転送する、アクセスコントローラの能力。 Event set—The ability of an access controller to store and forward events that occur or are generated in the process of operating the access controller to multiple systems.
一実施形態において、アクセスコントローラは、例えばLinux(登録商標)の運用システムを実行する民生用のコンピュータ上で実行することが可能なソフトウェアアプリケーションである。コンピュータは、アクセスコントローラなどの、デスクトップの、ラック実装可能な、クラウドベースの、又は埋め込み式のプラットホーム用に設計されてもよい。コンピュータは、ソフトウェアアプリケーションに必要なプロセッサ、ストレージ、及び接続性を提供する。必要なソフトウェアは全て、任意の他のコンピュータシステム上にソフトウェアをインストールすることを必要とすることなく、コンピュータに搭載される。 In one embodiment, the access controller is a software application that can be executed on a consumer computer running, for example, a Linux® operating system. The computer may be designed for a desktop, rack-mountable, cloud-based, or embedded platform, such as an access controller . The computer provides the processor, storage, and connectivity necessary for software applications. All the necessary software is installed on the computer without the need to install the software on any other computer system.
アクセスコントローラは、信用証明書及び関連付けられたアクセス権を維持するための、及び、専用の通信プロトコルへのアクセス又はさもなくばその使用を必要とすることなく既存の情報技術(IT)インフラ及びデータベースを用いてリアルタイムで事象を送信するための、改善された方法を提供する。 An access controller is an existing information technology (IT) infrastructure and database for maintaining credentials and associated access rights and without requiring access to or otherwise use a dedicated communication protocol. Provides an improved method for transmitting events in real time using.
アクセスコントローラは、自己プロビジョニングを行うアクセスデバイスとして、信用証明書及び関連付けられたアクセス権のキャッシュされたリストを得て、それを維持し得る。これらのデータは、任意の他のアクセス制御システムヘの通信を行うことなく、アクセスコントローラが現場のリアルタイムのアクセス決定を行うことを可能にする。信用証明書及び関連付けられたアクセス権のキャッシュは、スケジュール通りやリアルタイムのように定期的に1以上のホストシステムから、又は完全なスナップショットとして獲得され得る。例えば、アクセスコントローラは、事実上、アクセス信用証明書及び関連付けられたアクセス権のホストシステムのディレクトリに連続的にアクセスし、且つ、信用証明書及び権利の全ての幾つかをダウンロードし得る。一態様において、アクセスコントローラは、選択された数の個人に関するデータをダウンロードする。データがダウンロードされる個人は、独自で身元を明らかにされ、グループ関連付けにより身元を明らかにされ、或いは、割り当てられた役割により身元を明らかにされ得る。 The access controller may obtain and maintain a cached list of credentials and associated access rights as an access device performing self-provisioning. These data allow the access controller to make real-time access decisions in the field without communicating to any other access control system. The credentials and associated access rights cache may be obtained from one or more host systems on a regular basis, as scheduled or in real time, or as a complete snapshot. For example, the access controller may in effect continuously access the host system directory of access credentials and associated access rights, and download some of all of the credentials and rights. In one aspect, the access controller downloads data regarding a selected number of individuals. The individual whose data is downloaded can be uniquely identified, identified by group association, or identified by assigned role.
アクセスコントローラは、ロギング及びモニタリングデバイス又はシステムにリアルタイムの事象を送信するために、リアルタイムで、オンデマンドで、又はスケジュール通りに使用され得る。一態様において、事象は、アクセスドアの解錠又は施錠、アクセスドアの開放又は閉鎖信号(例えば、リミットスイッチ又はポジションセンサから、或いは論理的ルーチンに基づく)、アクセスドアの誤った又は異常な操作(変更可能な閾値を越える時間にわたり開く)等であり得る。事象は、XMLを含む任意の数のフォーマットで、任意の数のリモートデバイス又はシステムの機能をロギングするリレーショナルデータベース又はシステムに直接送信され得る。接続性が失われる場合、アクセスコントローラは事象をバッ
ファ処理し、且つ、接続性が回復される場合には事象伝達を継続する場合がある。
The access controller can be used in real time, on demand, or on schedule to send real time events to a logging and monitoring device or system. In one aspect, an event can be an unlocking or locking of the access door, an access door opening or closing signal (eg, from a limit switch or position sensor, or based on a logical routine), an incorrect or abnormal operation of the access door ( Open for a time exceeding a changeable threshold). Events can be sent directly to a relational database or system that logs the capabilities of any number of remote devices or systems in any number of formats, including XML. If connectivity is lost, the access controller may buffer the event and continue event transmission if connectivity is restored.
アクセスコントローラは、ブラウザアクセス可能なユーザーインターフェースを包含し得るか、又はそれを提供し得る。このインターフェースは、アクセス権を伝えるために、任意の数のアクセス・ポイント(例えばドア)を構成し且つそれらを動作させるための性能、及び、個人及び/又はグループに対する関連付けられたマッピング(個人の基準、グループの基準、及び/又は画定された役割の基準に基づく)を、アクセス制御システムのオペレータに提供する。同じインターフェースでは、オペレータは、リレーショナルデータベース、ディレクトリ、又は階層データストア、或いは、カンマ・セパレイテッド・バリュー(CSV)ファイルなどのフラットファイル、或いは任意の共通ASCIIファイルに実装されるか、又はそれを使用する信用証明書ソースを含む、信用証明書ソースと通信するためのアクセスコントローラを構成し得る。 The access controller may include or provide a browser accessible user interface. This interface provides the ability to configure and operate any number of access points (eg, doors) to convey access rights and associated mappings for individuals and / or groups (personal criteria , Based on group criteria and / or defined role criteria) to the access control system operator. In the same interface, operators can implement or use relational databases, directories, or hierarchical data stores, flat files such as Comma Separated Value (CSV) files, or any common ASCII file. An access controller may be configured to communicate with the credential source, including the credential source to be.
インターフェースでは、オペレータは、時間間隔のもの(timed interval)、スケジュール通りのもの、オンデマンドのもの、及びリアルタイムのものを含む、一種のデータ同期を選択し、且つ構成する。同期方法は、サブスクリプション(ホストアクセスの信用証明書及びポリシーシステムがアクセスコントローラに情報変化を「配信する(pushes)」もの)、監査証跡(アクセスコントローラが情報更新を要求するもの)、又は、データ修正トリガー(data modification trigger)(ホストシステムに書き込まれたコードが、情報変化を検出し、アクセスコントローラに変更された情報を送信するもの)を含む場合がある。サブスクリプション方法は、ホストシステムとアクセスコントローラとの間に持続的な常時接続を必要とし、その一方で他の例となる2つの方法は一時的な接続を用いることもある。 At the interface, the operator selects and configures a type of data synchronization, including timed, scheduled, on-demand, and real-time. The synchronization method can be subscription (host access credentials and policy system “pushes” information changes to the access controller ), audit trail (access controller requests information update), or data It may include a modification trigger (a code written to the host system that detects information changes and sends the changed information to the access controller ). The subscription method requires a persistent always-on connection between the host system and the access controller , while the other two exemplary methods may use a temporary connection.
アクセスコントローラは、ソースへの接続を開始して、コントローラのローカルキャッシュを構築するために信用証明書とポリシー情報を検索する。各個人は、複数のソースから1つのレコードへと個人の情報を照合するための固有識別子を有し得る。一旦ローカルキャッシュに転送されると、信用証明書がアクセス制御ポイントで示されるように、情報はアクセス決定において使用されてもよい。 The access controller initiates a connection to the source and retrieves credentials and policy information to build the controller 's local cache. Each individual may have a unique identifier for matching personal information from multiple sources into a single record. Once transferred to the local cache, the information may be used in access decisions so that credentials are indicated at the access control point.
アクセスコントローラは事象を記録し(log)、この記録は、事象受信部として任意の数のデバイス、サービス、及びシステムを確立するためにユーザーインターフェースにより構成され得る。アクセスコントローラは、例えば、SNMP、直接のソケット接続を介するXML(GSM(登録商標)、LAN、WAN、WiFi)、Syslogを含む任意の数のフォーマットで、及び、シリアルポートを通じて、遠隔のモニタリングサービスに事象を送信し得る。 The access controller logs the event, which can be configured by the user interface to establish any number of devices, services, and systems as event receivers. The access controller can be used for remote monitoring services in any number of formats including, for example, SNMP, XML (GSM, LAN, WAN, WiFi), Syslog over a direct socket connection, and through a serial port. An event can be sent.
アクセスコントローラは事象に優先順位を割り当てるために使用され得る。事象の優先順位は、どの事象がどのような順で、遠隔のモニタリングサービスに送信されるのかを判定する。 The access controller can be used to assign priorities to events. Event priority determines which events are sent to the remote monitoring service in what order.
図1A−Cは、アクセス制御システム、及びその選択されたコンポーネントを示す。図1Aにおいて、アクセス制御システム(10)は、ドアシステム(20)、アクセスコントローラ(100)、信用証明書及びポリシーのディレクトリ(200)、及び事象モニタリング作業端末(300)を含み、それら全ては、エリア又は容量へのアクセスを制限又は制御するように意図される。コントローラ(100)は、例えば、TCP/IPバックボーン(50)を使用して、ディレクトリ(200)及び作業端末(300)と通信する(100)。TCP/IPバックボーン(50)は有線式又は無線式、或いは、有線と無線の組み合わせでもよい。バックボーン(50)は、インターネットを含むローカルエリアネットワーク(LAN)及び広域ネットワーク(WAN)の要素を含んでいてもよい。アクセ
スコントローラ(100)とディレクトリ(200)の間、及びコントローラ(100)と作業端末(300)の間の通信(110)は、安全な通信(例えばHTTPS通信)でもよい。
1A-C illustrate the access control system and its selected components. In FIG. 1A, the access control system (10) includes a door system (20), an access controller (100), a credential and policy directory (200), and an event monitoring work terminal (300), all of which are It is intended to limit or control access to an area or capacity. The controller (100) communicates with the directory (200) and the work terminal (300) using, for example, a TCP / IP backbone (50) (100). The TCP / IP backbone (50) may be wired or wireless, or a combination of wired and wireless. The backbone (50) may include elements of a local area network (LAN) and a wide area network (WAN) including the Internet. The communication (110) between the access controller (100) and the directory (200) and between the controller (100) and the work terminal (300) may be secure communication (for example, HTTPS communication).
図1Bは、包囲されたエリア(12)への個人によるアクセスを制限又は制御するための、アクセスシステム(10)の選択されたコンポーネントを示す。示されるように、包囲されたエリア(12)は、入口ドアシステム(20)及び出口ドアシステム(20)を備えた6面の構造物である。ドアシステム(20)は図1A及び1Cを参照の上、記載される。ドアシステム(20)は通常の人間のアクセスのために意図される。他のアクセスポイント(例えば、窓)が存在してもよく、それらの操作は監視され、警報を発せられ、且つ制御されるものであってもよいが、そのようなアクセス・ポイントは本明細書ではこれ以上記載されない。 FIG. 1B shows selected components of the access system (10) for limiting or controlling access by individuals to the enclosed area (12). As shown, the enclosed area (12) is a six-sided structure with an entrance door system (20) and an exit door system (20). The door system (20) is described with reference to FIGS. 1A and 1C. The door system (20) is intended for normal human access. Other access points (eg, windows) may exist and their operation may be monitored, alarmed, and controlled, but such access points are described herein. Will not be described any further.
包囲されたエリア(12)は、モニタを制御し、ドアシステム(20)の操作を報告するアクセス制御特徴を実装する、コンピューティングプラットフォーム(101)を含む。コンピューティングプラットフォーム(101)は固定式又は移動式であってもよい。コンピューティングプラットフォーム(101)は包囲されたエリア(12)の内部に示されるが、その内部にある必要はない。その制御、モニタリング、及びレポーティングの機能を実行する際に、そのアクセス制御特徴を備えたコンピューティングプラットフォーム(101)は、包囲されたエリア(12)の外部で、ネットワーク(50)を経由して(遠隔)ディレクトリ(200)及び(遠隔)事象モニタリング作業端末(300)と通信し得る。ネットワーク(50)は有線式又は無線式であってもよく、且つ、非安全な通信及び信号伝達に加えて、安全な通信及び信号伝達を提供してもよい。 The enclosed area (12) includes a computing platform (101) that implements access control features that control the monitor and report the operation of the door system (20). The computing platform (101) may be fixed or mobile. The computing platform (101) is shown inside the enclosed area (12), but need not be inside it. In performing its control, monitoring, and reporting functions, the computing platform (101) with its access control features is outside the enclosed area (12) via the network (50) ( It may communicate with the (remote) directory (200) and the (remote) event monitoring work terminal (300). The network (50) may be wired or wireless and may provide secure communications and signaling in addition to non-secure communications and signaling.
包囲されたエリア(12)は、建物の中の部屋、建物自体、又は任意の他の構造物でもよい。包囲されたエリア(12)は、6面の構成に限定されない。包囲されたエリア(12)は、オープン構造(例えば競技場)、囲まれたエリア(例えば走路を取り囲むエリア)、又は「目に見えない」フェンス又は「仮想壁」があるエリアでもよい。包囲されたエリア(12)は、地理的に固定される(例えば、建物、建物の中の部屋)、又は移動可能(例えば、トレーラー、飛行機、船、又はコンテナ)であってもよい。 The enclosed area (12) may be a room in the building, the building itself, or any other structure. The enclosed area (12) is not limited to a six-plane configuration. The enclosed area (12) may be an open structure (eg a stadium), an enclosed area (eg an area surrounding a track), or an area with “invisible” fences or “virtual walls”. The enclosed area (12) may be geographically fixed (eg, building, room in a building) or movable (eg, trailer, airplane, ship, or container).
包囲されたエリア(12)は、中に含まれる政府又は企業機密の(classified)文書又はデバイスへのアクセス、中に含まれるコンピュータシステムへのアクセス、個人へのアクセス、珍しい絵画や宝石などの高価な品へのアクセス、及び、危険物又はシステムへのアクセスを制御するために使用されてもよい。包囲されたエリア(12)は、銀行の金庫又は貴重品保管室、原子炉用の制御室、機密の新技術の飛行機用の格納庫、又は空港の乗客口であってもよい。 The enclosed area (12) has access to government or trade secret documents or devices contained therein, access to computer systems contained within, access to individuals, and expensive items such as unusual paintings and jewelry. May be used to control access to sensitive items and access to dangerous goods or systems. The enclosed area (12) may be a bank vault or valuable storage room, a reactor control room, a secret new technology airplane hangar, or an airport passenger door.
移動式の構成において、包囲されたエリア(12)は、例えば、世界のあらゆる場所に安全な設備を迅速に確立するための現場作業において使用されてもよい。そのような移動式の包囲されたエリア(12)のセキュリティは、後述の議論から明白となる。更に、移動式の包囲されたエリアは、後述のように、ユーザーインターフェースを介して実施された単純な構成変化により、その用途に依存して、移動式の包囲されたエリア(12)にアクセスすることが可能な異なる個人による、非常に異なる操作に使用されてもよい。故に、システム(10)は、高度なセキュリティ、アクセス制御、事象モニタリング及びレポーティングだけでなく、(アクセス制御が所望される)世界中のあらゆる場所での作業又は任務に移動式の包囲されたエリア(12)を素早く適応させる柔軟性をも、提供する。 In a mobile configuration, the enclosed area (12) may be used, for example, in field work to quickly establish a safe facility anywhere in the world. The security of such a mobile enclosed area (12) will become apparent from the discussion below. Furthermore, the mobile enclosed area accesses the mobile enclosed area (12), depending on its application, through simple configuration changes implemented through the user interface, as described below. It can be used for very different operations by different individuals that can. Thus, the system (10) is not only a high security, access control, event monitoring and reporting, but also a mobile enclosed area (where access control is desired) in a mobile enclosed area (where access control is desired) It also provides the flexibility to adapt 12) quickly.
図1Aに戻り、アクセスコントローラ(100)はまた、ピアツーピア通信(120)を使用して、それらの間及び中で通信することができる。例えば、そのようなピアツーピア通信(120)は安全なLANの使用によって可能となり得る。代替的に、ピアツーピア通
信(120)は無線式の安全な通信でもよい。ピアツーピア通信(120)はまた、TCP/IPプロトコルに従うものでもよい。
Returning to FIG. 1A, the access controller (100) can also communicate between and within them using peer-to-peer communication (120). For example, such peer-to-peer communication (120) may be possible through the use of a secure LAN. Alternatively, the peer-to-peer communication (120) may be a wireless secure communication. Peer-to-peer communication (120) may also follow the TCP / IP protocol.
ピアツーピア通信(120)は、アクセスコントローラ(100)が、包囲されたエリア(12)において使用される他のアクセスコントローラ間でアクセス状況の情報及び事象を送受信することを可能にする。故に、ドアシステム(20)が動作しない場合、その関連付けられたアクセスコントローラ(100)は他のアクセスコントローラ(100)にこの情報を提供してもよい。ピアツーピア通信(120)は、1つのアクセスコントローラ(100)が親の(マスター)アクセスコントローラとして作用し、及び、残りのアクセスコントローラ(100)が子の(補助的な)アクセスコントローラとして作用することを可能にする。この態様において、情報と構成は、親のアクセスコントローラに保存されるか又はそこで実装され、その後、子のアクセスコントローラ(100)上で複製され得る。 Peer-to-peer communication (120) allows access controller (100) to send and receive access status information and events between other access controllers used in the enclosed area (12). Thus, if the door system (20) does not operate, its associated access controller (100) may provide this information to other access controllers (100). Peer-to-peer communication (120) indicates that one access controller (100) acts as a parent (master) access controller and the remaining access controllers (100) act as child (auxiliary) access controllers. enable. In this aspect, the information and configuration can be stored on or implemented in the parent access controller and then replicated on the child access controller (100).
最終的に、アクセスコントローラ(100)は、有線又は無線式の安全な通信(130)を使用して、ドアシステム(20)と通信することができる。 Finally, the access controller (100) can communicate with the door system (20) using wired or wireless secure communication (130).
図1Bを参照してより詳細に記載されるドアシステム(20)は、包囲されたエリア(12)への通常の人間のアクセスを制御する。図1Aの例において、6つのドアシステム(20)が示される。一態様において、6つのドアシステム(20)は、3つの包囲されたエリアのアクセス・ポイントを提供し、ドアシステム(20)は対となって動作し、対となる1つのドアシステム(20)は、包囲されたエリア(12)への侵入を可能にし、他の対となるドアシステム(20)は、包囲されたエリア(12)からの退出を可能にする。別の態様において、1つのドアシステム(20)は、包囲されたエリア(12)への侵入とそこからの退出の両方に使用されてもよい。 The door system (20) described in more detail with reference to FIG. 1B controls normal human access to the enclosed area (12). In the example of FIG. 1A, a six door system (20) is shown. In one aspect, the six door systems (20) provide access points for three enclosed areas, the door systems (20) operate in pairs, and one paired door system (20). Allows entry into the enclosed area (12) and another pair of door systems (20) allows exit from the enclosed area (12). In another aspect, one door system (20) may be used for both entering and exiting the enclosed area (12).
図1Aは、別個のアクセスコントローラ(100)との通信している各ドアシステムの対を示す。しかし、コントローラ(100)とドアシステム(20)の他の組み合わせが、システム(10)に実装されてもよい。例えば、1つのコントローラ(100)は、包囲されたエリア(12)のためにドアシステム(20)を全て制御してもよい。 FIG. 1A shows each door system pair in communication with a separate access controller (100). However, other combinations of controller (100) and door system (20) may be implemented in system (10). For example, one controller (100) may control all the door systems (20) for the enclosed area (12).
図1Aに示される信用証明書及びポリシーのディレクトリ(200)は、1以上の実ディレクトリを表わし得る。ディレクトリは、包囲されたエリア(12)から遠方に位置してもよい。ディレクトリは、包囲されたエリア(12)のオペレータ以外の実体によって操作されてもよい。例えば、包囲されたエリア(12)は、政府請負業者のための感知式の区画化された情報施設(SCIF)でもよく、ディレクトリ(200)は、政府請負業者のためのディレクトリ及び政府系機関のためのディレクトリを表わしてもよい。 The credential and policy directory (200) shown in FIG. 1A may represent one or more real directories. The directory may be located far from the enclosed area (12). The directory may be manipulated by entities other than the operator of the enclosed area (12). For example, the enclosed area (12) may be a sensed compartmentalized information facility (SCIF) for government contractors and the directory (200) may be a directory for government contractors and government agencies. May represent a directory for
ディレクトリ(200)は、包囲されたエリア(12)、個人の識別信用証明書(PIN/パスワード、RFIDタグ、証明書)、及び他の情報へのアクセスを許可される個人に関する識別情報(名前、年齢、身体的特徴、写真)を含み得る。 Directory (200) contains enclosed information (12), personal identity credentials (PIN / password, RFID tags, certificates), and identification information (name, Age, physical characteristics, photograph).
事象モニタリング作業端末(300)は、包囲されたエリア(12)のものと同じ実体によって実施されてもよい。代替的に、事象モニタリング作業端末(300)は、別個の実体により、及びその実体において、並びに包囲されたエリア(12)の実体から離れて実施されてもよい。 The event monitoring work terminal (300) may be implemented by the same entity as that of the enclosed area (12). Alternatively, the event monitoring work terminal (300) may be implemented by a separate entity and at that entity and away from the entity of the enclosed area (12).
事象モニタリング作業端末(300)は、アクセスコントローラ(100)から事象データを受信し得る。 The event monitoring work terminal (300) may receive event data from the access controller (100).
図1Cは、図1Aのシステムに実装され得るドアシステムの例を示す。図1Cにおいて
、ドアシステム(20)は通信路(110)を介してアクセスコントローラ(100)と通信した状態で示される。ドアシステム(20)は、アクセスドア(22)、ドアロック機構(24)、ドアコントローラ(26)、及び信用証明書リーダ(28)を備える。ドア(22)は、個人が包囲されたエリアに侵入するか又はそこから離れることを可能にする任意のドアであってもよい。ドア(22)は、ドア(22)が完全に閉じていない時を示す位置検出器(例えば、リミットスイッチ−示されず)を含んでもよい。位置検出器は、信号経路(21)を介してドアコントローラ(26)に完全に閉じていない信号を送信し得る。完全に閉じていない信号は、連続的又は定期的に送信されてもよく、且つ、予め定めた時間が過ぎた後まで送信されないこともある。
FIG. 1C shows an example of a door system that can be implemented in the system of FIG. 1A. In FIG. 1C, the door system (20) is shown in communication with the access controller (100) via the communication path (110). The door system (20) includes an access door (22), a door lock mechanism (24), a door controller (26), and a credential reader (28). The door (22) may be any door that allows an individual to enter or leave the enclosed area. The door (22) may include a position detector (eg, limit switch—not shown) that indicates when the door (22) is not fully closed. The position detector may send a non-closed signal to the door controller (26) via the signal path (21). A signal that is not completely closed may be transmitted continuously or periodically and may not be transmitted until after a predetermined time has passed.
ロック機構は、ドアコントローラ(26)から信号経路(21)を介して送信される電気信号に応答して位置付けられる(施錠される又は解錠される)デッドボルトなどの、遠隔に動作された電気機械的なロック要素(図示せず)を含む。 The locking mechanism is a remotely operated electrical device, such as a deadbolt positioned (locked or unlocked) in response to an electrical signal transmitted from the door controller (26) via the signal path (21). Includes a mechanical locking element (not shown).
ドアコントローラ(26)は、信用証明書リーダ(28)から信号経路(29)を介して信用証明書情報を受信し、その情報を信号経路(130)を介してアクセスコントローラ(100)に渡す。ドアコントローラ(26)は、信号経路(130)を介してアクセスコントローラから施錠/解錠の信号を受信する。ドアコントローラ(26)は、信号経路(21)を介してロック機構の施錠/解錠の信号をロック機構(24)に送信する。 The door controller (26) receives the credential information from the credential reader (28) via the signal path (29) and passes the information to the access controller (100) via the signal path (130). The door controller (26) receives a lock / unlock signal from the access controller via the signal path (130). The door controller (26) transmits a lock / unlock signal of the lock mechanism to the lock mechanism (24) via the signal path (21).
信用証明書リーダ(28)は、個人(42)に関する信用証明書情報(40)を受信する。信用証明書情報(40)は、例えば、RFIDチップ、スマートカード上の信用証明書、キーパッドを使用するPIN/パスワード入力、指紋及び網膜スキャンのデータなどのバイオメトリックデータにおいて、コード化されてもよい。 The credential reader (28) receives the credential information (40) for the individual (42). The credential information (40) may be encoded in biometric data such as RFID chip, credential on smart card, PIN / password entry using keypad, fingerprint and retinal scan data, for example. Good.
ドアシステム(20)は、アクセスコントローラ(100)に送信されるアクセス要求信号、及び、応答時にアクセスコントローラ(100)から受信されるアクセス許可信号に基づいて、作動する。ドアシステム(20)は、オートロック機能を組み込んでもよく、それは、ドア(22)が開いて閉じた後、解錠信号がロック機構(24)に送信されたがドア(22)が特定の時間内に開かない後、又は、他の状態下での特定の時間内で、ドア(22)を起動する(施錠する)。オートロックのロジックは、ドアコントローラ(26)又はロック機構(24)に実装されてもよい。 Door system (20), the access request signal transmitted to the access controller (100), and, based on the access permission signal received from the access controller (100) when responding to operate. The door system (20) may incorporate an auto-lock function, which means that after the door (22) opens and closes, an unlocking signal is sent to the locking mechanism (24), but the door (22) is at a certain time. The door (22) is activated (locked) after not opening in or within a certain time under other conditions. The auto-locking logic may be implemented in the door controller (26) or the locking mechanism (24).
ドアシステム(20)は、アクセスコントローラ(100)経由で事象モニタリングシステム(300)に事象信号を送信し得る。そのような信号は、ドアの開放、ドアの閉鎖、ロック機構の施錠、及びロック機構の解錠を含む。上記で注意されるように、信号は、ドアシステム(20)においてリミットスイッチから生じてもよい。 The door system (20) may send an event signal to the event monitoring system (300) via the access controller (100). Such signals include door opening, door closing, locking mechanism locking, and locking mechanism unlocking. As noted above, the signal may originate from a limit switch in the door system (20).
一態様において、ドアシステム(20)は侵入にのみ使用されてもよく、別個のドアシステム(20)は退出にのみ使用されてもよい。 In one aspect, the door system (20) may be used only for entry and a separate door system (20) may be used only for exit.
どのように構成されようと、ドアシステム(20)は、侵入と退出それぞれの時点で個人(42)の信用証明書情報を読み取ることによって得た情報に基づき、個人(42)が包囲されたエリア(12)にいる時、及び、個人(42)が包囲されたエリア(12)から退出した時を示し得る。これらの信号は例えば、介在する退出無しに再侵入を防ぐために使用されてもよい。信号(又はそれらが無い(absense))はまた、エリア及び包囲されたエリア内のシステムへのアクセスを防ぐために使用されてもよい。例えば、個人(42)は、包囲されたエリア(12)のドアシステム(20)の1つから生じる侵入信号が無い状態で、包囲されたエリア(12)において自身のコンピュータにログオンすることを認められないかもしれない。故に、アクセスコントローラ及びその実装されたセキュ
リティ機能は、個人が曝され得る階層式の一連のアクセス操作の第一歩かもしれない。
Regardless of how configured, the door system (20) is based on the information obtained by reading the personal (42) credentials at the time of entry and exit, and the area in which the individual (42) is enclosed. It may indicate when in (12) and when the individual (42) has left the enclosed area (12). These signals may be used, for example, to prevent re-entry without intervening exit. Signals (or lack of them) may also be used to prevent access to the area and systems within the enclosed area. For example, an individual (42) is permitted to log on to his computer in the enclosed area (12) in the absence of an intrusion signal originating from one of the door systems (20) in the enclosed area (12). It may not be possible. Hence, the access controller and its implemented security functions may be the first step in a hierarchical series of access operations that an individual can be exposed to.
ドアシステム(20)は、支えられて開いたドア(22)、固く解錠されたロック機構(24)、及び、破損又は不良の他の指標などに、様々な警報を組み込んでもよい。 The door system (20) may incorporate various alarms, such as a supported and open door (22), a tightly unlocked locking mechanism (24), and other indicators of breakage or failure.
図1A−1Cは、建物又は建物の中の部屋等のエリアへの物理的アクセスに主に適用される、アクセス制御システム(10)を記載する。しかし、上記に開示されるように、アクセス制御システム(10)、及びその選択されたコンポーネントは、論理資源を含む機関の資産及び資源へのアクセスを制御するために使用され得る。例えば、自己プロビジョニングを行うアクセスコントローラ(100)は、機関のコンピュータシステム、及び、コンピュータシステムに包含されるファイル(即ち、論理資源)へのアクセスを制御するために使用されてもよい。更に、アクセスコントローラ(100)は、論理資源への段階的なアクセスを個人に提供するために自己プロビジョニングを行ってもよい。例えば、個人は、第1の包囲されたエリア中のファイル1−10へのアクセス、及び、第2のより安全な包囲されたエリア中のファイル1−20へのアクセスを許可される場合がある。この例において、第1の包囲されたエリアは建物であり、第2の包囲されたエリアは建物内のSCIFでもよい。故に、自己プロビジョニングを行うアクセスコントローラ(100)は、物理的且つ論理的なアクセスを含む、個人のためのアクセス権に対して非常に洗練された制御を確立し、且つ、個人の信用証明書の読み取りによって示されるような個人の物理的位置に基づいて論理的アクセスを調整し得る。 1A-1C describe an access control system (10) that applies primarily to physical access to an area, such as a building or a room within a building. However, as disclosed above, the access control system (10), and selected components thereof, can be used to control access to agency assets and resources, including logical resources. For example, the self-provisioning access controller (100) may be used to control access to institutional computer systems and files (ie, logical resources) contained in the computer system. Furthermore, the access controller (100) may perform self-provisioning to provide individuals with graded access to logical resources. For example, an individual may be permitted access to file 1-10 in a first enclosed area and access to file 1-20 in a second, more secure enclosed area. . In this example, the first enclosed area may be a building and the second enclosed area may be a SCIF in the building. Thus, the self-provisioning access controller (100) establishes very sophisticated control over access rights for individuals, including physical and logical access, and Logical access may be adjusted based on an individual's physical location as indicated by reading.
図2は、図1A−1Cのシステム(10)と共に使用されるアクセスコントローラ(100)の一例の要素及びコンポーネントを示す。図2において、アクセスコントローラ(100)はコンピューティングプラットフォーム(101)上に実装された状態で示される。例えば、コンピューティングプラットフォーム(101)は、メインフレームコンピュータ、デスクトップコンピュータ、ラップトップコンピュータ又はタブレット、及びスマートフォンを含む、任意のコンピューティング装置でもよい。アクセスコントローラ(100)は、ソフトウェア、ハードウェア、又はファームウェア、或いは、3つの任意の組み合わせとして実装されてもよい。ソフトウェアの中に実装される場合、アクセスコントローラ(100)は、非一時的なコンピュータ可読記憶媒体に保存されてもよい。 FIG. 2 illustrates example elements and components of an access controller (100) used with the system (10) of FIGS. 1A-1C. In FIG. 2, the access controller (100) is shown implemented on the computing platform (101). For example, the computing platform (101) may be any computing device, including mainframe computers, desktop computers, laptop computers or tablets, and smartphones. The access controller (100) may be implemented as software, hardware, firmware, or any combination of the three. When implemented in software, the access controller (100) may be stored on a non-transitory computer readable storage medium.
コンピューティングプラットフォーム(101)はLinux(登録商標)の運用システムを使用してもよい。代替的に、他の運用システムを使用してもよい。コンピューティングプラットフォーム(101)はデータストア(102)を備え、それは順に、ローカルキャッシュ(103)(個人(42)などの個人に関する信用証明書及びアクセスポリシー情報をローカルに保存するために使用され得るもの)、非一時的なコンピュータ可読記憶媒体(104)(アクセスコントローラ(100)に保存され得るもの)、及び、事象バッファ(107)(事象モニタリング作業端末(300)への伝達間、事象を一時的に保存し得るもの)を備える。コンピューティングプラットフォームは、ブラウザ(105)、プロセッサ(106)、及びメモリ(108)を更に含む。プロセッサ(106)は、アクセスコントローラ(100)を含む実施用のプログラムを、データストア(102)からメモリ(108)の中へとロードしてもよい。 The computing platform (101) may use a Linux (registered trademark) operating system. Alternatively, other operational systems may be used. The computing platform (101) comprises a data store (102), which in turn can be used to locally store credentials and access policy information about individuals such as the local cache (103) (person (42) ), A non-transitory computer readable storage medium (104) (which can be stored in the access controller (100)), and an event buffer (107) (temporarily storing events during transmission to the event monitoring work terminal (300)). That can be stored in The computing platform further includes a browser (105), a processor (106), and a memory (108). The processor (106) may load an implementation program including the access controller (100) from the data store (102) into the memory (108).
アクセスコントローラ(100)は、ローカルキャッシュ(103)と通信し、及び、ブラウザ(105)を使用して、ディレクトリ(200)などのディレクトリ、及び事象モニタリング作業端末(300)などの他のコンピューティング装置と通信する。しかし、ディレクトリ(200)及び作業端末(300)との通信は、専用のローカルエリアネットワークなどを含む他の手段によるものでもよい。 The access controller (100) communicates with the local cache (103) and uses the browser (105) to use a directory such as the directory (200) and other computing devices such as the event monitoring work terminal (300). Communicate with. However, communication with the directory (200) and the work terminal (300) may be performed by other means including a dedicated local area network.
アクセスコントローラ(100)は、インターフェースエンジン(150)とアクセス制御
エンジン(190)を備える。インターフェースエンジン(150)は、ユーザーインターフェース(160)(図3を参照)を提供し、これは、図3に関して詳述されるように、アクセスコントローラ(100)による事象報告のための自己プロビジョニング特徴を確立するために、アクセス制御システム(10)のオペレータ(人間)によって利用され得るものである。
The access controller (100) includes an interface engine (150) and an access control engine (190). The interface engine (150) provides a user interface (160) (see FIG. 3) that provides self-provisioning features for event reporting by the access controller (100), as detailed with respect to FIG. To be established, it can be used by an operator (human) of the access control system (10).
アクセス制御エンジン(190)は、キャッシュ(103)を自己プロビジョニングするディレクトリ(200)と通信して、自己プロビジョニングを行ったキャッシュ(103)に含まれる情報に基づいてドアシステム(20)を操作する、ロジックを備える。アクセス制御エンジン(190)は、事象を記録し、且つ事象モニタリング作業端末(300)に事象を報告するためのロジックを備える。ロジックは、アクセスコントローラ(100)が事象を保存し、且つその事象を複数の宛先に報告する、事象集合を可能にし得る。アクセス制御エンジン(190)は、図4に関して詳述される。 The access control engine (190) communicates with the directory (200) for self-provisioning the cache (103) and operates the door system (20) based on information contained in the self-provisioned cache (103). Provide logic. The access control engine (190) includes logic for recording events and reporting events to the event monitoring work terminal (300). The logic may allow an event set where the access controller (100) stores the event and reports the event to multiple destinations. The access control engine (190) is described in detail with respect to FIG.
図3は、図2のアクセスコントローラ(100)を介して可能とされるユーザーインターフェース(160)の一例を示す。ユーザーインターフェース(160)は、包囲されたエリア(12)のための任意の数のドアシステム(20)を構成し且つその操作を制御する性能を、オペレータに提供する。ユーザーインターフェース(160)は、オペレータが、個人の身元、グループメンバーシップ、及び機関内の割り当てられた役割に基づき、許可された個人のマッピングを作成し、且つアクセス権を伝えることを可能にする。同じインターフェース(160)では、オペレータは、任意のリレーショナルデータベース、ディレクトリ又は階層データストアを含む、ディレクトリ(200)などの信用証明書ソースと通信、或いは、CSVなどのフラットファイル又は任意の共通ASCIIファイルと通信するように、アクセスコントローラ(100)を構成し得る。 FIG. 3 shows an example of a user interface (160) enabled via the access controller (100) of FIG. The user interface (160) provides the operator with the ability to configure and control the operation of any number of door systems (20) for the enclosed area (12). The user interface (160) allows an operator to create an authorized individual mapping and convey access rights based on the individual's identity, group membership, and assigned role within the institution. In the same interface (160), the operator can communicate with a credential source such as directory (200), including any relational database, directory or hierarchical data store, or with a flat file such as CSV or any common ASCII file. The access controller (100) may be configured to communicate.
図3に示されるように、一例のユーザーインターフェース(160)は、個人に関係する情報のためのアクセス・ウインドウ(170)、及び、事象に関係する情報のための事象・ウインドウ(180)を備える。個人のアクセス・ウインドウ(170)は、ディレクトリアドレス・ウインドウ(171)(オペレータがディレクトリ(200)のアドレス(例えばURL)を入力するもの);個人名・ウインドウ(172)(個人の名前がプルダウンメニューに入力又は列挙され得るもの);所属・ウインドウ(173)(個人の機関が入力され得るもの);グループ・ウインドウ(174)(個人が属するグループが入力され得るもの);役割・ウインドウ(175)(個人に割り当てられた役割又は作業が入力され得るもの);識別番号・ウインドウ(176)(割り当てられた独自の識別が現われるもの);アクセスレベル・ウインドウ(177)(個人のアクセスの最高レベルを列挙するもの);及び、同期・ウインドウ(178)(信用証明書及びポリシーのディレクトリ(200)への言及により個人のアクセスデータを更新するための周期性が指定され得るもの)を備える。ウインドウ(171)−(178)の幾つかは、プルダウンメニューの形式であってもよい。同期・ウインドウ(178)などの幾つかのウインドウは、一度表示され、その選択された値が全ての個人に適用される。ウインドウ(171)−(178)は、一度にオペレータのディスプレイに現われてもよい。一旦データが入力されると、オペレータは、選択を確認するための確認ページを提示され得る。全てのウインドウが満たされる必要はない。1つの態様において、オペレータは、ディレクトリアドレス及び個人の名前を提供してもよく、残存データは、アクセスコントローラによってディレクトリ(200)から検索される。更に、アクセスコントローラ(100)は、リアルタイム又は連続的な照会に近い、周期的な基礎に基づいてディレクトリ(200)に照会することにより、データを検索するか、又はリフレッシュさせ得る。代替的に、データは、例えば、長い間隔で、スケジュール通りに、又はオンデマンドで検索されてもよい。故に、アクセスコントローラ(100)は、包囲されたエリア(12)へのアクセスを要求する個人に関するアクセス制御情報により、それ自体を自己プロビジョニングすることができる。上述
のように、検索されたデータはローカルキャッシュ(103)に保存され、アクセスコントローラ(100)は、アクセス決定を下す場合にローカルキャッシュ(103)に照会する。
As shown in FIG. 3, an example user interface (160) includes an access window (170) for information related to an individual and an event window (180) for information related to an event. . The personal access window (170) is a directory address window (171) (the operator inputs the address (eg, URL) of the directory (200)); a personal name window (172) (the personal name is a pull-down menu) Affiliation window (173) (personal institution can be entered); group window (174) (group to which an individual belongs can be entered); role window (175) (The role or work assigned to the individual can be entered); identification number window (176) (where the assigned unique identification appears); access level window (177) (the highest level of personal access) Enumeration); and synchronization window (178) (credentials) And a policy directory (200) by reference to those periodicity for updating the personal access data can be specified). Some of the windows (171)-(178) may be in the form of pull-down menus. Some windows, such as the sync window (178), are displayed once and the selected value is applied to all individuals. Windows (171)-(178) may appear on the operator's display at one time. Once the data has been entered, the operator can be presented with a confirmation page to confirm the selection. Not all windows need to be filled. In one aspect, the operator may provide a directory address and a person's name, and the remaining data is retrieved from the directory (200) by the access controller . Further, the access controller (100) may retrieve or refresh the data by querying the directory (200) on a periodic basis, close to real-time or continuous query. Alternatively, the data may be retrieved, for example, at long intervals, on schedule, or on demand. Thus, the access controller (100) can self-provision itself with access control information regarding the individual requesting access to the enclosed area (12). As described above, the retrieved data is stored in the local cache (103), and the access controller (100) queries the local cache (103) when making an access decision.
事象・ウインドウ(180)は、多くのデータ入力・ウインドウを提供し、これは更に、プルダウンメニューを備えてもよく、且つ、システムオペレータが、事象モニタリング作業端末(300)に事象を報告するためのアクセスコントローラ(100)の初期設定を確立するために使用し得るものである。事象・ウインドウ(180)は、事象名又はタイトル、概要、測定パラメータ、及び他の情報が入力され得る事象記載・ウインドウ(181)を備える。例えば、事象・ウインドウ(180)は、ドア開放事象、ドア開放測定を提供するデバイスの識別、ドア開放事象が意味するもの、及び、ドア開放事象が提供される形態を指定するために使用されてもよい。 The event window (180) provides a number of data entry windows, which may further include pull-down menus and for the system operator to report events to the event monitoring work terminal (300). It can be used to establish the initial settings of the access controller (100). The event window (180) comprises an event description window (181) into which an event name or title, summary, measurement parameters, and other information can be entered. For example, the event window (180) is used to specify the door opening event, the identification of the device providing the door opening measurement, what the door opening event means, and the form in which the door opening event is provided. Also good.
事象・ウインドウ(180)は、システムオペレータが事象に優先順位を割り当てることができる、事象優先順位・ウインドウ(182)を更に備える。優先順位は、事象がアクセスコントローラ(100)から事象モニタリング作業端末(300)に送信される順序を判定し得る。故に、例えば、警報又は故障を示す事象は、ドア開放事象よりも上の優先順位を有し得る。 The event window (180) further comprises an event priority window (182) through which system operators can assign priorities to events. The priority may determine the order in which events are transmitted from the access controller (100) to the event monitoring work terminal (300). Thus, for example, an event indicating a warning or failure may have a higher priority than a door opening event.
また更に、事象・ウインドウ(180)は、システムオペレータが事象モニタリング作業端末(300)に事象を報告するために時間フレームを設定する、報告周期性・ウインドウ(183)を備える。 Still further, the event window (180) comprises a reporting periodicity window (183) in which the system operator sets a time frame for reporting events to the event monitoring work terminal (300).
最終的に、事象・ウインドウ(180)は、システムオペレータが事象モニタリング作業端末(300)のアドレスを入力する、報告宛先・ウインドウ(184)を備える。ウインドウ(184)を使用して、システムオペレータは、事象報告を受信するために多くの異なる実体を指定することができる。異なる実体は、異なる報告を受信し得る。例えば、第1の事象モニタリング作業端末は、ドア開放及びドア閉鎖の事象のみを受信し、一方で第2の事象モニタリング作業端末は全ての事象を受信し得る。指定先は同じ実体に属する必要はない。 Finally, the event window (180) comprises a report destination window (184) where the system operator enters the address of the event monitoring work terminal (300). Using the window (184), the system operator can specify many different entities to receive event reports. Different entities may receive different reports. For example, a first event monitoring work terminal may receive only door opening and closing events, while a second event monitoring work terminal may receive all events. The destinations need not belong to the same entity.
図4は、アクセスコントローラ(100)におけるアクセスエンジン(190)の例を示す。アクセスエンジン(190)は、自己プロビジョニングモジュール(191)、コンパレータ(195)、決定モジュール(196)、事象検出器/ロガー(197)、及び事象レポータ(198)を備える。 FIG. 4 shows an example of the access engine (190) in the access controller (100). The access engine (190) comprises a self-provisioning module (191), a comparator (195), a decision module (196), an event detector / logger (197), and an event reporter (198).
システム(10)が多くのアクセスコントローラ(100)を備える実施形態において、1つのアクセスコントローラ(100)は、親のアクセスコントローラとして指定され、他のアクセスコントローラは、子のアクセスコントローラとして指定され得る。マスターアクセスコントローラは、ディレクトリ(200)からデータを得て、その後、ピアツーピア通信(120)を使用して、子のアクセスコントローラに対し獲得データをコピーしてもよい。代替的に、各アクセスコントローラはディレクトリ(200)と別々に通信してもよい。 In embodiments where the system (10) comprises a number of access controllers (100), one access controller (100) may be designated as the parent access controller and the other access controller may be designated as the child access controller . The master access controller may obtain data from the directory (200) and then use peer-to-peer communication (120) to copy the acquired data to the child access controller . Alternatively, each access controller may communicate separately with the directory (200).
上記で注意されるように、本明細書に開示されたアクセス制御システム、デバイス、及び方法の1つの態様は、信用証明書とポリシーのディレクトリ(200)から獲得したアクセス制御情報により自己プロビジョニングを行うアクセスコントローラ(100)の性能であり、これは、アクセスコントローラ(100)から遠方に位置してもよく、且つ、アクセスコントローラ(100)を所有し且つ操作するもの以外の実体によって所有され、且つ操作されてもよい。自己プロビジョニングモジュール(191)は、自己プロビジョニング機能の幾つかを提供する。自己プロビジョニングモジュール(191)は、通信サブモジュー
ル(192)、キャッシュフィラー(193)、及びキャッシュ通信装置(194)を備える。通信サブモジュール(192)は、恐らく複数のディレクトリ(200)、アクセスコントローラ(100)のどちらが信用証明書とポリシー情報を獲得し且つ更新するために対処されなければならないかを判定する。その後、サブモジュール(192)は、選択されたディレクトリ(200)との安全な(暗号化された;例えばHTTPS)通信を確立し、情報を獲得する。代替的に、幾つかの情報は、非安全な(暗号を解読された)通信を使用して獲得されてもよい。
As noted above, one aspect of the access control system, device, and method disclosed herein self-provisions with access control information obtained from a credential and policy directory (200). a performance of access controller (100), which may be located far away from the access controller (100), and are owned by an entity other than those operating own access controller (100) and and operating May be. The self-provisioning module (191) provides some of the self-provisioning functions. The self-provisioning module (191) includes a communication submodule (192), a cache filler (193), and a cache communication device (194). The communication sub-module (192) determines which of the multiple directories (200) or the access controller (100) probably has to be addressed in order to obtain and update credentials and policy information. Thereafter, the submodule (192) establishes a secure (encrypted; eg HTTPS) communication with the selected directory (200) and obtains information. Alternatively, some information may be obtained using non-secure (decrypted) communications.
通信サブモジュール(192)はまた、リアルタイムで、リアルタイム付近で(例えば、事象の数秒以内で)、スケジュール通りに、事象モニタリング作業端末(300)からオンデマンドで、又は幾つかの他の基礎に基づいて事象情報を送信するために、事象モニタリング作業端末(300)との安全な(又は非安全な)通信を確立することもある。 The communication sub-module (192) is also in real time, near real time (eg, within a few seconds of an event), on schedule, on demand from the event monitoring work terminal (300), or based on some other basis. In order to transmit event information, secure (or non-secure) communication with the event monitoring work terminal (300) may be established.
通信サブモジュール(192)とディレクトリ(200)と事象モニタリング作業端末(300)の間の通信は、ブラウザ(105)経由で行われてもよい。通信サブモジュール(192)は、データの暗号化(発信要求/報告のため)、及び解読(ディレクトリ(200)から受信されたデータパケット、又は事象モニタリング作業端末(300)から受信された要求のため)を行なってもよい。 Communication among the communication submodule (192), the directory (200), and the event monitoring work terminal (300) may be performed via the browser (105). The communication sub-module (192) is for data encryption (for outgoing requests / reports) and decryption (data packets received from the directory (200) or requests received from the event monitoring work terminal (300)). ) May be performed.
キャッシュフィラー(193)は、通信サブモジュール(192)から獲得情報を受信し、適宜ローカルキャッシュ(103)に投入する。キャッシュフィラー(192)は、キャッシュ(103)に情報を保存する前に受信情報に対してエラーチェックを実行してもよい。 The cache filler (193) receives the acquired information from the communication submodule (192) and inputs it to the local cache (103) as appropriate. The cache filler (192) may perform an error check on the received information before storing the information in the cache (103).
キャッシュ通信装置(194)は、例えば、キャッシュ(103)に列挙される特定の個人へのアクセスを認めるためにドア(22)を解錠すべきかどうかを判定するなどのために、アクセス制御エンジン(190)の他のコンポーネントに使用するためのキャッシュ(103)からデータを検索し得る。キャッシュ通信装置(104)は、システムオペレータがキャッシュを探索し、幾つか又は全てのキャッシュコンテンツの報告(表示)を受信することを可能にする、探索/表示機能を備えてもよい。その報告はインターフェース(160)に提供され、且つ印刷されてもよい。 The cache communication device (194) may, for example, determine whether the door (22) should be unlocked to allow access to a particular individual listed in the cache (103), etc. 190) Data may be retrieved from cache (103) for use by other components. The cache communication device (104) may include a search / display function that allows a system operator to search the cache and receive reports (displays) of some or all cache content. The report may be provided to the interface (160) and printed.
コンパレータ(195)は、ドアシステム(20)で獲得した信用証明書情報を受信し、キャッシュ(103)から適切な情報を検索するためにキャッシュ通信装置(194)と通信する。獲得した信用証明書情報及び検索された情報は、決定モジュール(196)に提供され、それは、包囲されたエリア(12)への個人のアクセスを許容するように情報が(十分に)一致するかどうかを判定するものである。 The comparator (195) receives the credential information acquired in the door system (20) and communicates with the cache communication device (194) to retrieve appropriate information from the cache (103). The acquired credential information and the retrieved information are provided to the decision module (196), which matches the information (sufficiently) to allow individual access to the enclosed area (12). It is a judgment.
事象検出器/ロガー(197)は、ドアシステム(20)から信号を受信し、予め定めた事象に従い信号を分類し、報告可能な事象としてデータをフォーマット化して、事象バッファ(107)において事象を記録する。その後、事象レポータ(198)は、通信サブモジュール(192)及びブラウザ(105)経由で事象モニタリング作業端末(300)に、記録された事象を報告する。 The event detector / logger (197) receives the signal from the door system (20), classifies the signal according to a predetermined event, formats the data as a reportable event, and stores the event in the event buffer (107). Record. Thereafter, the event reporter (198) reports the recorded event to the event monitoring work terminal (300) via the communication submodule (192) and the browser (105).
図5A−5Cは、図1A−1Cのシステム及び図2−4のコンポーネントの方法の例を示すフローチャートである。 5A-5C are flowcharts illustrating examples of the method of the system of FIGS. 1A-1C and the components of FIGS. 2-4.
図5Aと5Bは、アクセスコントローラ(100)が信用証明書とポリシーのディレクトリ(200)と事象モニタリング作業端末(300)の情報(例えば、これらのデバイス/システムのURL)を受信し、その情報がアクセスコントローラ(100)を構成するために
使用される場合に、ブロック(505)において開始する、方法(500)を示す。複数のアクセスコントローラ(100)を備えるアクセス制御システムにおいて、第1(親)のアクセスコントローラの構成は、残り(子)のアクセスコントローラにコピーされてもよい。
5A and 5B show that the access controller (100) receives the credentials and policy directory (200) and event monitoring work terminal (300) information (eg, the URLs of these devices / systems), FIG. 4 illustrates a method (500) starting at block (505) when used to configure an access controller (100). In an access control system including a plurality of access controllers (100), the configuration of the first (parent) access controller may be copied to the remaining (child) access controllers .
ブロック(510)において、ディレクトリ情報は、包囲されたエリア(12)へのアクセスを要求する1以上の個人に関する信用証明書とポリシー情報を獲得するために使用される。 In block (510), the directory information is used to obtain credentials and policy information for one or more individuals requesting access to the enclosed area (12).
ブロック(515)において、このように獲得した信用証明書及びポリシー情報は、各アクセスコントローラ(100)のローカルキャッシュにロードされる。 In block (515), the credentials and policy information thus obtained are loaded into the local cache of each access controller (100).
ブロック(520)において、アクセスコントローラ(100)は、個人(42)が(特定のドア(22)を通って)包囲されたエリア(12)に侵入する(又は退出する)ことを可能にするためのアクセス要求を受信する。アクセス要求は、信用証明書(40)からのデータ読み取りに基づいてもよい。 In block (520), the access controller (100) allows the individual (42) to enter (or leave) the enclosed area (12) (through a specific door (22)). Receive access request. The access request may be based on reading data from the credential (40).
ブロック(525)において、受信した要求からの情報は、個人(42)に関するキャッシュ(103)における信用証明書及びポリシー情報を検索するためにアクセスコントローラ(100)において使用され、その後、検索された情報はアクセス要求に含まれるものと比較される。 In block (525), the information from the received request is used in the access controller (100) to retrieve credentials and policy information in the cache (103) for the individual (42) and then retrieved information. Is compared to what is included in the access request.
ブロック(530)において、アクセスコントローラ(100)は、個人(42)が包囲されたエリア(12)にアクセスすることを可能にするように比較が十分な一致を示すかどうかを判定する。例えば、キャッシュ(103)から検索された情報の各項目は、証明書(40)から読み取られるものに正確に一致することを要求され得る。ブロック(530)において、一致すると判定された場合、方法(500)はブロック(535)に移る。一致していないと判定された場合、方法(500)はブロック(545)に移る。 In block (530), the access controller (100) determines whether the comparison is sufficiently consistent to allow the individual (42) to access the enclosed area (12). For example, each item of information retrieved from the cache (103) may be required to match exactly what is read from the certificate (40). If it is determined at block (530) that they match, the method (500) moves to block (535). If it is determined that they do not match, the method (500) moves to block (545).
ブロック(535)において、アクセスコントローラ(100)は、ドアシステム(20)に解錠信号を送信する。ブロック(540)において、アクセスコントローラ(100)は、その後、(個人(42)を許可するために)ドア(22)が開いており、次に閉じてロックされているかどうかを判定するためにドアシステム(20)の操作をモニタリングする。 In block (535), the access controller (100) sends an unlock signal to the door system (20). In block (540), the access controller (100) then determines whether the door (22) is open (and then closed and locked) (to allow the individual (42)). Monitor the operation of the system (20).
ブロック(545)において、システム(10)に実装される場合、アクセスコントローラ(100)は、ディレクトリ(200)にアクセス要求を送信し、それは、信用証明書(40)から受信した情報が個人(42)に関するディレクトリ(200)におけるものに一致するかどうかを判定するために自身の内部処理を使用するものである。 In block (545), when implemented in the system (10), the access controller (100) sends an access request to the directory (200), where the information received from the credential (40) is personal (42). ) Uses its own internal processing to determine if it matches that in the directory (200).
ブロック(550)において、アクセスコントローラ(100)は、一致している又は一致していないことを示す、ディレクトリ(200)から信号を受信する。一致していると示された場合、方法(500)はブロック(540)に移る。一致していないと示された場合、方法(500)はブロック(555)に移り、アクセスコントローラ(100)は個人(42)へのアクセスを拒否する。 In block (550), the access controller (100) receives a signal from the directory (200) indicating that it matches or does not match. If a match is indicated, the method (500) moves to block (540). If a mismatch is indicated, the method (500) moves to block (555) and the access controller (100) denies access to the individual (42).
ブロック(560)において、ブロック(540)の操作に続き、アクセスコントローラ(100)は、ドアシステム(20)から事象情報を受信し、事象情報を事象へとフォーマット化し、事象モニタリング作業端末(300)に事象を送信する。 In block (560), following operation of block (540), the access controller (100) receives event information from the door system (20), formats the event information into events, and an event monitoring work terminal (300). Send an event to.
ブロック(555)又は(560)の後、方法(500)はブロック(565)に移り
、終了する。
After block (555) or (560), method (500) moves to block (565) and ends.
図5Cは、具体的にはアクセスコントローラ(100)を構成するための、図5Aのブロック(505)のプロセスの態様の一例を示すフローチャートである。図5Cにおいて、方法(500)は、包囲されたエリア(12)へのアクセスを要求する個人(42)に関する信用証明書とポリシー情報をアクセスコントローラ(100)が獲得する、ディレクトリ(元の)アドレスを設定するために、システムオペレータがインターフェース(160)を使用する場合に、ブロック(571)において始まる。ブロック(573)において、宛先アドレス(即ち、キャッシュ(103)のアドレス)が設定される。ブロック(575)において、同期時間が設定される。ブロック(577)において、アクセスコントローラは、自身の信用証明書と関連情報がキャッシュ(103)に入力されることになっている、特定の個人(42)の指標を受信する。 FIG. 5C is a flowchart illustrating an example of a process aspect of block (505) of FIG. 5A, specifically for configuring access controller (100). In FIG. 5C, the method (500) includes a directory (original) address from which the access controller (100) obtains credentials and policy information for an individual (42) requesting access to the enclosed area (12). When the system operator uses the interface (160) to set, it begins at block (571). In the block (573), the destination address (that is, the address of the cache (103)) is set. In block (575), the synchronization time is set. In block (577), the access controller receives an indication of a particular individual (42) whose credentials and related information are to be entered into the cache (103).
ブロック(579)において、アクセスコントローラは、アクセスコントローラ(100)によってモニタリングされる事象の画定を受信する。この事象は予め画定されてもよく、又は、例えばインターフェース(160)を使用して、システムオペレータによって確立され且つ画定されてもよい。ブロック(581)において、アクセスコントローラ(100)は、事象情報を受信する事象モニタの宛先アドレスを受信する。ブロック(583)において、アクセスコントローラ(100)は、要求される報告の間隔又は周期性を受信する。最終的に、ブロック(585)において、アクセスコントローラ(100)は、どんな情報が各事象と共に提供又は記録されることになっているかを定めるパラメータを受信する。その後、方法(505)は終了する。 In block (579), the access controller receives a definition of the event monitored by the access controller (100). This event may be predefined or may be established and defined by a system operator using, for example, interface (160). In block (581), the access controller (100) receives the destination address of the event monitor that receives the event information. In block (583), the access controller (100) receives the required reporting interval or periodicity. Finally, at block (585), the access controller (100) receives parameters that define what information is to be provided or recorded with each event. Thereafter, the method (505) ends.
図面に示されるデバイスの幾つかは、コンピューティングシステムを備える。コンピューティングシステムは、プロセッサ(CPU)、及び読み取り専用メモリ(ROM)及びランダムアクセスメモリ(RAM)などのシステムメモリを含む様々なシステムコンポーネントをプロセッサに結合するシステムバスを備える。他のシステムメモリも同様に、使用のために利用可能であってもよい。コンピューティングシステムは、より大きな処理能力を提供するために、1より多くのプロセッサ、又は、共にネットワーク化されたコンピューティングシステムのグループ又はクラスタを備えてもよい。システムバスは、様々なバス方式の何れかを用いるメモリバス又はメモリコントローラ、周辺バス、及びローカルバスを含む、様々なタイプのバス構造の何れかであってもよい。ROMなどに保存される基礎的な入力/出力(BIOS)は、スタートアップなどの間に、コンピューティングシステム内の要素間で情報を転送するのを支援する、基礎的なルーチンを提供し得る。コンピューティングシステムは更に、既知のデータベース管理システムに従いデータベースを維持する、データストアを備える。データストアは、ハードディスクドライブ、磁気ディスクドライブ、光ディスクドライブ、テープドライブ、又は、プロセッサによりアクセス可能なデータを保存することができる別のタイプのコンピュータ可読媒体(磁気カセット、フラッシュメモリカード、デジタル多用途ディスク、カートリッジ、ランダムアクセスメモリ(RAM)、及び読み取り専用メモリ(ROM)など)などの、多くの形態で具現化されてもよい。データストアは、ドライブインターフェースによってシステムバスに接続されてもよい。データストアは、コンピュータ読み取り可能な指示、データ構造、プログラムモジュール、及び他のデータの不揮発性記憶装置を、コンピューティングシステムに提供する。 Some of the devices shown in the drawings comprise a computing system. The computing system comprises a system bus that couples a processor (CPU) and various system components including system memory such as read only memory (ROM) and random access memory (RAM) to the processor. Other system memories may be available for use as well. A computing system may comprise more than one processor, or a group or cluster of computing systems networked together to provide greater processing power. The system bus may be any of various types of bus structures including a memory bus or memory controller using any of a variety of bus schemes, a peripheral bus, and a local bus. Basic input / output (BIOS), such as stored in ROM, may provide basic routines that assist in transferring information between elements in a computing system, such as during startup. The computing system further comprises a data store that maintains the database according to a known database management system. The data store is a hard disk drive, magnetic disk drive, optical disk drive, tape drive, or another type of computer readable medium (magnetic cassette, flash memory card, digital versatile disk) that can store data accessible by the processor. , Cartridges, random access memory (RAM), and read only memory (ROM), etc.). The data store may be connected to the system bus by a drive interface. The data store provides computer readable instructions, data structures, program modules, and other non-volatile storage of data to the computing system.
人間(及び、幾つかの例では機械)のユーザーとの対話処理を可能にするために、コンピューティングシステムは、音声及びオーディオ用のマイクロホン、ジェスチャ又は図形入力用のタッチ感知式スクリーン、キーボード、マウス、動作入力などの入力デバイスを備えてもよい。出力デバイスは、多くの出力機構の1以上を備え得る。幾つかの例において、多モードシステムにより、ユーザーは、コンピューティングシステムと通信するため
に複数のタイプの入力を提供することが可能となる。通信用インターフェースにより、通常、コンピューティングデバイスシステムは、様々な通信及びネットワークのプロトコルを使用して、1以上の他のコンピューティングデバイスと通信することが可能となる。
In order to allow interaction with human (and in some instances machines) users, computing systems include microphones for voice and audio, touch sensitive screens for gesture or graphic input, keyboards, mice An input device such as an operation input may be provided. The output device may comprise one or more of many output mechanisms. In some examples, a multi-mode system allows a user to provide multiple types of input to communicate with a computing system. Communication interfaces typically allow a computing device system to communicate with one or more other computing devices using a variety of communication and network protocols.
前述の開示は、図5A−5Cに表わされた実施形態を示すためのフローチャート及び付随の説明について言及する。開示されたデバイス、コンポーネント、及びシステムは、示された工程を実行するための任意の適切な技術を使用又は実施することを考慮する。故に、図5A−5Cは例示のみを目的とするものであり、記載の又は同様の工程は、同時に、個別に、又は組み合わせを含む、任意の適切な時間で実行されてもよい。加えて、フローチャートの工程は、同時に、及び/又は、示され且つ記載されるものとは異なる順で生じる場合もある。更に、開示されたシステムは、追加の、少数の、及び/又は異なる工程を伴うプロセス及び方法を使用してもよい。 The foregoing disclosure refers to flowcharts and accompanying descriptions to illustrate the embodiment depicted in FIGS. 5A-5C. The disclosed devices, components, and systems contemplate using or implementing any suitable technique for performing the indicated steps. Thus, FIGS. 5A-5C are for illustration only and the described or similar steps may be performed at any suitable time, including simultaneously, individually, or in combination. In addition, the steps of the flowchart may occur simultaneously and / or in a different order than that shown and described. Further, the disclosed system may use processes and methods with additional, few, and / or different steps.
本明細書に開示された実施形態は、本明細書に開示された構造及びその同等物を含む、デジタル電子回路、コンピュータソフトウェア、ファームウェア、又はハードウェアに実装することができる。幾つかの実施形態は、1以上のプロセッサによる実施のためにコンピュータ記憶装置媒体上にコード化される、1以上のコンピュータプログラム(即ち、コンピュータプログラム命令の1以上のモジュール)として実装することができる。コンピュータ記憶装置媒体は、コンピュータ可読記憶デバイス、コンピュータ可読記憶基板、又は、ランダム或いはシリアルアクセスメモリであるか、又はそれらに含まれ得る。コンピュータ記憶装置媒体はまた、複数のCD、ディスク、又は他の記憶デバイスなどの1以上の別個の物理的コンポーネント又は媒体であるか、又はその中に含まれ得る。コンピュータ可読記憶媒体は一時的な信号を含まない。 The embodiments disclosed herein may be implemented in digital electronic circuitry, computer software, firmware, or hardware, including the structures disclosed herein and their equivalents. Some embodiments may be implemented as one or more computer programs (ie, one or more modules of computer program instructions) encoded on a computer storage medium for execution by one or more processors. . The computer storage medium may be or be included in a computer readable storage device, a computer readable storage substrate, or a random or serial access memory. The computer storage media may also be or be contained within one or more separate physical components or media, such as multiple CDs, disks, or other storage devices. The computer readable storage medium does not include a temporary signal.
本明細書に開示された方法は、1以上のコンピュータ可読記憶デバイスに保存される、又は他のソースから受信されるデータ上でプロセッサにより行なわれた操作として実施することができる。 The methods disclosed herein can be implemented as operations performed by a processor on data stored in one or more computer-readable storage devices or received from other sources.
コンピュータプログラム(プログラム、モジュール、エンジン、ソフトウェア、ソフトウェアアプリケーション、スクリプト、又はコードとしても知られる)は、コンパイルされた又は通訳された言語、宣言型又は手続型言語を含む任意の形態のプログラミング言語で書くことができ、且つ、独立プログラム又はモジュールとして、コンポーネント、サブルーチン、オブジェクト、又はコンピュータ環境での使用に適した他のユニットを含む任意の形態で配置することができる。コンピュータプログラムはファイルシステム中のファイルに対応するが、層である必要はない。プログラムは、他のプログラム又はデータ(例えば、マークアップ言語文書に保存される1以上のスクリプト)を保持するファイルの一部に、問題のプログラム専用の1つのファイルに、又は、複数の統合ファイル(例えば、1以上のモジュール、サブプログラム、又はコードの一部を保存するファイル)に、保存することができる。コンピュータプログラムは、1つの場所に位置するか、又は、複数の場所に分布され且つ通信ネットワークにより相互接続される、1つのコンピュータ又は複数のコンピュータ上で実行されるように、配置することができる。 Computer programs (also known as programs, modules, engines, software, software applications, scripts, or code) are written in any form of programming language, including compiled or interpreted languages, declarative or procedural languages And can be arranged as an independent program or module in any form including components, subroutines, objects, or other units suitable for use in a computer environment. A computer program corresponds to a file in the file system, but need not be a layer. The program can be part of a file that holds other programs or data (eg, one or more scripts stored in a markup language document), a single file dedicated to the program in question, or multiple integrated files ( For example, it can be stored in one or more modules, subprograms, or files that store part of the code. The computer program can be located at one location or arranged to be executed on one computer or multiple computers distributed at multiple locations and interconnected by a communication network.
Claims (24)
アクセス制御エリアに物理的に位置付けられたプロセッサにおいて、アクセスコントローラによる信用証明書及びポリシーのディレクトリの周期的な自動化したクエリを介してアクセスコントローラの自己プロビジョニングを可能にするように、信用証明書及びポリシーのディレクトリ情報をリアルタイムでホストシステムのリモートディレクトリから直接受信する工程;
アクセス制御エリアへのアクセスを必要とし得る1以上の個人に関する信用証明書及びポリシー情報を、プロセッサを用いて信用証明書及びポリシーのディレクトリから獲得する工程;
獲得した信用証明書及びポリシー情報を、プロセッサによりアクセス可能なローカルキャッシュに保存する工程;
信用証明書及びポリシーのディレクトリからの、信用証明書及びポリシー情報の更新を、プロセッサにより周期的に要求する工程;
周期的な要求に応答して、信用証明書及びポリシー情報の更新を、プロセッサにおいて受信する工程;
信用証明書及びポリシー情報の更新に基づきローカルキャッシュを更新する工程;
アクセス制御エリアへの個人のアクセスを許可するためにアクセス要求をプロセッサにおいて受信する工程;
プロセッサにより、アクセス要求を、ローカルキャッシュにおける信用証明書及びポリシー情報と比較する工程;及び
比較が一致を示す場合にアクセス制御エリアへの個人のアクセスを認める工程
を含む方法。 An access control method performed by a processor comprising:
Physically in a processor positioned in the access control area, to allow self-provisioning of the access controller via a query periodically automation of credentials and policies directory by the access controller, credential and policy Receiving directory information directly from the remote directory of the host system in real time;
Obtaining credential and policy information from a credential and policy directory using a processor with respect to one or more individuals that may require access to an access control area;
Storing the acquired credentials and policy information in a local cache accessible by the processor;
Periodically requesting a processor to update credentials and policy information from a directory of credentials and policies;
Receiving updates of credentials and policy information at the processor in response to the periodic request;
Updating the local cache based on updating credentials and policy information;
Receiving an access request at the processor to allow individual access to the access control area;
Comparing the access request with a credential and policy information in a local cache by a processor; and authorizing personal access to the access control area if the comparison indicates a match.
ユーザーインターフェースを介して第1のアクセスコントローラを構成する工程;及び
他のアクセスコントローラの各々における構成を自動的に複製する工程
を含む、ことを特徴とする請求項2に記載の方法。 The enclosed area includes a plurality of access controllers , and the steps of configuring the access controller are:
The method of claim 2, comprising: configuring a first access controller via a user interface; and automatically replicating a configuration in each of the other access controllers .
事象画定情報を受信する工程;及び
受信した事象画定情報に応じて事象をモニタリングし且つ収集するようにアクセスコントローラを構成する工程
を更に含む、ことを特徴とする請求項2に記載の方法。 Receiving the address of the event monitor by the processor;
The method of claim 2, further comprising: receiving event definition information; and configuring the access controller to monitor and collect events in response to the received event definition information.
前記エリアに物理的に位置付けられるプロセッサ;及び
コンピュータ可読記憶媒体に具現化されるソフトウェアアプリケーションであるアクセスコントローラ
を含み、
前記アクセスコントローラは機械命令を含み、該機械命令は、プロセッサにより実行された場合、少なくとも:
アクセスコントローラによる信用証明書及びポリシーのディレクトリの周期的な自動化したクエリを介してアクセスコントローラの自己プロビジョニングを可能にするように、リアルタイムでホストシステムのリモートディレクトリからの信用証明書及びポリシーのディレクトリ情報を直接受信し、及び
エリアへのアクセスを必要とし得る1以上の個人に関する、信用証明書及びポリシーのディレクトリからの信用証明書及びポリシー情報を受信するように、システムを構成すること;
信用証明書及びポリシーのディレクトリの受信された信用証明書及びポリシーのディレクトリの情報、並びに、1以上の個人の信用証明書及びポリシー情報を、プロセッサによりアクセス可能なローカルキャッシュに保存すること;
信用証明書及びポリシーのディレクトリからの、信用証明書及びポリシー情報の更新を周期的に要求すること;
周期的な要求に応答して、信用証明書及びポリシー情報の更新を、プロセッサにおいて受信すること;
信用証明書及びポリシー情報の更新に基づきローカルキャッシュを更新すること;
包囲されたエリアへの1以上の個人の中の1個人のアクセスを許可するためにアクセス要求を受信すること;
アクセス要求を、ローカルキャッシュにおける信用証明書及びポリシー情報と比較すること;及び
比較が一致を示す場合に、エリアへの個人のアクセスを認めること
を、プロセッサに行わせる
ことを特徴とするシステム。 A system for controlling access to an area by an individual;
A processor physically located in the area; and an access controller that is a software application embodied in a computer-readable storage medium;
The access controller includes a machine instruction, and when the machine instruction is executed by a processor, at least:
To allow self-provisioning of the access controller via a periodic automated query credential and policy directory by the access controller, the credential and directory information policy from a remote directory on the host system in real time Configuring the system to receive credential and policy information from the credential and policy directory for one or more individuals that may directly receive and require access to the area;
Storing received credential and policy directory information in the credential and policy directory, and one or more personal credentials and policy information in a local cache accessible by the processor;
Periodically request updates of credentials and policy information from the credentials and policy directory;
Receiving updates of credentials and policy information at the processor in response to the periodic request;
Updating the local cache based on updates to credentials and policy information;
Receiving an access request to grant access of one of one or more individuals to the enclosed area;
Comparing the access request with credentials and policy information in a local cache; and, if the comparison indicates a match, allowing the processor to grant the individual access to the area.
ユーザーインターフェースを介して第1のアクセスコントローラを構成し;及び
他のアクセスコントローラの各々における構成を自動的に複製する
ことを特徴とする請求項16に記載のシステム。 An area comprises a plurality of access controllers , and when configuring an access controller , the processor:
The system of claim 16, wherein the first access controller is configured via a user interface; and the configuration at each of the other access controllers is automatically replicated.
アクセス制御エリアにおける資産へのアクセスを制御するための機械命令を保存する工程であって、該機械命令は、アクセス制御エリアに物理的に位置付けられたメモリに保存される、工程;及び
機械命令をアクセスコントローラにより実行する工程であって:該工程は、
アクセス制御情報を自己プロビジョニングする工程であって、
ホストシステムのリモートディレクトリからアクセス制御情報のディレクトリアドレスをリアルタイムで要求し、そこからアクセスコントローラが資産へのアクセスを必要とする個人に関するアクセス制御情報を取得する工程、
アクセス制御情報の宛先アドレスを受信する工程、
アクセス制御情報のディレクトリアドレスおよび宛先アドレスに基づいて、資産へのアクセスを必要とする個人に関するアクセス制御情報を周期的に自己プロビジョニングする工程、および
確立された周期で、資産へのアクセスを必要とする個人に関するアクセス制御情報を備えるメモリのローカルキャッシュを自動的に更新する工程、により、アクセス制御情報を自己プロビジョニングする工程、
アクセス制御情報に基づき資産へのアクセスを認める又は拒否する工程、及び
資産へのアクセスの容認及び拒否に関連する事象を報告する工程
を更に含む工程
を含む、方法。 A method for access controller self-provisioning / self-reporting comprising:
Storing machine instructions for controlling access to assets in an access control area, wherein the machine instructions are stored in a memory physically located in the access control area; and A step performed by an access controller comprising :
A process of self-provisioning access control information,
Requesting in real time the directory address of the access control information from the remote directory of the host system, from which the access controller obtains access control information about the individual who needs access to the asset
Receiving a destination address of access control information;
Periodically self-provisioning access control information for individuals who need access to the asset based on the directory address and destination address of the access control information, and require access to the asset at an established period Self-provisioning access control information by automatically updating a local cache of memory comprising access control information about an individual;
A method comprising the steps of: granting or denying access to the asset based on the access control information; and reporting an event related to accepting and denying access to the asset.
信用証明書及びポリシーのディレクトリとの通信を確保する工程;
信用証明書及びポリシーのディレクトリから得た信用証明書及びポリシー情報を、メモリに保存する工程;及び
保存した信用証明書及びポリシー情報を更新する工程
を含む、ことを特徴とする請求項22に記載の方法。 The process of self-provisioning is:
Ensuring communication with the credential and policy directory;
23. The method of claim 22, comprising: storing the credential and policy information obtained from the credential and policy directory in a memory; and updating the stored credential and policy information. the method of.
メモリにおける事象をバッファ処理する工程;及び
複数のモニタリングシステムに事象を報告する工程
を含む、ことを特徴とする請求項22に記載の方法。 The process of reporting events related to accepting and denying access to an asset is:
24. The method of claim 22, comprising buffering events in memory; and reporting the events to a plurality of monitoring systems.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/855,543 US9509719B2 (en) | 2013-04-02 | 2013-04-02 | Self-provisioning access control |
US13/855,543 | 2013-04-02 | ||
PCT/US2014/026177 WO2014165305A1 (en) | 2013-04-02 | 2014-03-13 | Self-provisioning access control |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019150636A Division JP7051766B2 (en) | 2013-04-02 | 2019-08-20 | Self-provisioning access control |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2016515784A JP2016515784A (en) | 2016-05-30 |
JP2016515784A5 true JP2016515784A5 (en) | 2019-10-10 |
JP6966195B2 JP6966195B2 (en) | 2021-11-10 |
Family
ID=51622197
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016506316A Active JP6966195B2 (en) | 2013-04-02 | 2014-03-13 | Self-provisioning access control |
JP2019150636A Active JP7051766B2 (en) | 2013-04-02 | 2019-08-20 | Self-provisioning access control |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019150636A Active JP7051766B2 (en) | 2013-04-02 | 2019-08-20 | Self-provisioning access control |
Country Status (14)
Country | Link |
---|---|
US (2) | US9509719B2 (en) |
EP (1) | EP2981884B1 (en) |
JP (2) | JP6966195B2 (en) |
KR (1) | KR102030225B1 (en) |
CN (1) | CN105378648B (en) |
AU (2) | AU2014248457A1 (en) |
BR (1) | BR112015025282B1 (en) |
CA (1) | CA2908734C (en) |
HK (1) | HK1221309A1 (en) |
IL (1) | IL241867B (en) |
MX (1) | MX356761B (en) |
SG (1) | SG11201507955YA (en) |
WO (1) | WO2014165305A1 (en) |
ZA (1) | ZA201508224B (en) |
Families Citing this family (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9548973B2 (en) * | 2007-08-24 | 2017-01-17 | Assa Abloy Ab | Detecting and responding to an atypical behavior |
CA2890863A1 (en) | 2012-11-12 | 2014-05-15 | Sielox, Llc | Emergency notification system and methods |
US11017106B2 (en) * | 2012-11-12 | 2021-05-25 | Sielox, Llc | Emergency notification, access control, and monitoring systems and methods |
US11163901B2 (en) | 2012-11-12 | 2021-11-02 | Sielox, Llc | Emergency notification system and methods |
US20150106150A1 (en) * | 2013-10-15 | 2015-04-16 | Kastle Systems International Llc | System and method for managing event participant authorizations |
US9407615B2 (en) | 2013-11-11 | 2016-08-02 | Amazon Technologies, Inc. | Single set of credentials for accessing multiple computing resource services |
US10908937B2 (en) | 2013-11-11 | 2021-02-02 | Amazon Technologies, Inc. | Automatic directory join for virtual machine instances |
US10447610B1 (en) | 2013-11-11 | 2019-10-15 | Amazon Technologies, Inc. | Techniques for network redirection |
US9736159B2 (en) | 2013-11-11 | 2017-08-15 | Amazon Technologies, Inc. | Identity pool bridging for managed directory services |
US10115256B2 (en) | 2014-04-07 | 2018-10-30 | Videx, Inc. | Remote administration of an electronic key to facilitate use by authorized persons |
WO2015168386A2 (en) * | 2014-04-30 | 2015-11-05 | Cubic Corporation | Failsafe operation for unmanned gatelines |
US20150319685A1 (en) * | 2014-05-02 | 2015-11-05 | Qualcomm Incorporated | Techniques for managing wireless communications using a distributed wireless local area network driver model |
US10257184B1 (en) | 2014-09-29 | 2019-04-09 | Amazon Technologies, Inc. | Assigning policies for accessing multiple computing resource services |
US10515493B2 (en) | 2014-12-05 | 2019-12-24 | Avigilon Corporation | Method and system for tracking and pictorially displaying locations of tracked individuals |
US10509663B1 (en) | 2015-02-04 | 2019-12-17 | Amazon Technologies, Inc. | Automatic domain join for virtual machine instances |
WO2016154636A1 (en) * | 2015-03-23 | 2016-09-29 | Paul K Luker Llc | Worksite ingress/egress system |
GB2538963A (en) * | 2015-06-01 | 2016-12-07 | Idcontrol Oy | Access control controller, related system, method and computer program |
EP3529437B1 (en) | 2016-10-19 | 2023-04-05 | Dormakaba USA Inc. | Electro-mechanical lock core |
EP3571677B1 (en) | 2017-01-23 | 2024-11-06 | Carrier Corporation | Access control system with secure pass-through |
CN111094676B (en) | 2017-09-08 | 2022-04-08 | 多玛卡巴美国公司 | Electromechanical lock core |
US11151240B2 (en) | 2017-12-11 | 2021-10-19 | Carrier Corporation | Access key card that cancels automatically for safety and security |
US11062543B2 (en) * | 2017-12-11 | 2021-07-13 | Carrier Corporation | On-demand credential for service personnel |
CN108366368A (en) * | 2018-01-08 | 2018-08-03 | 国网江苏省电力有限公司 | A kind of electric power cloud platform system and its radio switch-in method based on Wi-Fi |
US11681781B2 (en) * | 2018-02-21 | 2023-06-20 | Comcast Cable Communications, Llc | Systems and methods for content security |
US11466473B2 (en) | 2018-04-13 | 2022-10-11 | Dormakaba Usa Inc | Electro-mechanical lock core |
US11339589B2 (en) | 2018-04-13 | 2022-05-24 | Dormakaba Usa Inc. | Electro-mechanical lock core |
US10970949B2 (en) * | 2018-05-04 | 2021-04-06 | Genetec Inc. | Secure access control |
US20200119586A1 (en) * | 2018-10-15 | 2020-04-16 | Avigilon Corporation | Wireless charging of depleted mobile device for access control |
WO2020089484A1 (en) | 2018-11-02 | 2020-05-07 | Assa Abloy Ab | Systems, methods, and devices for access control |
US11201871B2 (en) * | 2018-12-19 | 2021-12-14 | Uber Technologies, Inc. | Dynamically adjusting access policies |
CN109582431A (en) * | 2018-12-25 | 2019-04-05 | 杭州达现科技有限公司 | A kind of the catalogue update method and device of display interface |
MX2021011638A (en) | 2019-03-25 | 2022-01-04 | Assa Abloy Ab | Ultra-wide band device for access control reader system. |
CN117037332A (en) * | 2019-03-25 | 2023-11-10 | 亚萨合莱有限公司 | Method for providing access control and access control system |
EP3716224B1 (en) * | 2019-03-27 | 2023-10-25 | Carrier Corporation | System and method for providing secure access |
US11010995B2 (en) | 2019-09-06 | 2021-05-18 | Videx, Inc. | Access control system with dynamic access permission processing |
US11281794B2 (en) * | 2019-09-26 | 2022-03-22 | Microsoft Technology Licensing, Llc | Fine grained access control on procedural language for databases based on accessed resources |
US11736836B2 (en) | 2020-03-27 | 2023-08-22 | Deng Ip Holder, Llc | Mobile secure network system and device |
US11356432B2 (en) * | 2020-03-27 | 2022-06-07 | Securkart Llc | Mobile secure network system and device |
US20220003017A1 (en) * | 2020-07-01 | 2022-01-06 | Rogue Industries, LLC | Rapidly deployable sensitive information facility |
US11386731B2 (en) | 2020-08-24 | 2022-07-12 | Delphian Systems, LLC | Bridge device for access control in a multi-tenant environment |
CN112562138B (en) * | 2020-11-24 | 2022-11-22 | 北京百度网讯科技有限公司 | Method, device, equipment and storage medium for managing gate |
US20230004679A1 (en) * | 2021-06-30 | 2023-01-05 | Lenovo (United States) Inc. | Role-based component access control |
Family Cites Families (66)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06249825A (en) | 1993-02-26 | 1994-09-09 | Tokyo Gas Co Ltd | Fet sensor |
US7716486B2 (en) | 1995-10-02 | 2010-05-11 | Corestreet, Ltd. | Controlling group access to doors |
US7600129B2 (en) | 1995-10-02 | 2009-10-06 | Corestreet, Ltd. | Controlling access using additional data |
US7337315B2 (en) | 1995-10-02 | 2008-02-26 | Corestreet, Ltd. | Efficient certificate revocation |
US8015597B2 (en) | 1995-10-02 | 2011-09-06 | Corestreet, Ltd. | Disseminating additional data used for controlling access |
US7353396B2 (en) | 1995-10-02 | 2008-04-01 | Corestreet, Ltd. | Physical access control |
US7822989B2 (en) | 1995-10-02 | 2010-10-26 | Corestreet, Ltd. | Controlling access to an area |
US8171524B2 (en) | 1995-10-02 | 2012-05-01 | Corestreet, Ltd. | Physical access control |
US8261319B2 (en) | 1995-10-24 | 2012-09-04 | Corestreet, Ltd. | Logging access attempts to an area |
JP2000259567A (en) * | 1999-03-09 | 2000-09-22 | Toshiba Corp | Device and method for controlling access and storage medium |
US6390697B1 (en) | 1999-10-29 | 2002-05-21 | Fargo Electronics, Inc. | Printhead mounting guide frame |
US20020118096A1 (en) * | 2000-05-26 | 2002-08-29 | Hector Hoyos | Building security system |
US7194764B2 (en) | 2000-07-10 | 2007-03-20 | Oracle International Corporation | User authentication |
AU7593601A (en) | 2000-07-14 | 2002-01-30 | Atabok Inc | Controlling and managing digital assets |
AU2002257249B2 (en) * | 2001-05-04 | 2006-08-31 | Cubic Corporation | Smart card access control system |
US7243369B2 (en) * | 2001-08-06 | 2007-07-10 | Sun Microsystems, Inc. | Uniform resource locator access management and control system and method |
US7308714B2 (en) | 2001-09-27 | 2007-12-11 | International Business Machines Corporation | Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack |
US20050021661A1 (en) * | 2001-11-01 | 2005-01-27 | Sylvain Duloutre | Directory request caching in distributed computer systems |
US20030126464A1 (en) | 2001-12-04 | 2003-07-03 | Mcdaniel Patrick D. | Method and system for determining and enforcing security policy in a communication session |
US20030115243A1 (en) * | 2001-12-18 | 2003-06-19 | Intel Corporation | Distributed process execution system and method |
JP2004062980A (en) * | 2002-07-29 | 2004-02-26 | Toyota Gakuen | Magnetic alloy, magnetic recording medium, and magnetic recording and reproducing device |
EP1636682A4 (en) | 2003-06-24 | 2009-04-29 | Corestreet Ltd | Access control |
JP3971408B2 (en) * | 2004-04-16 | 2007-09-05 | 日立情報通信エンジニアリング株式会社 | Entrance / exit management system and log monitor device |
US8232862B2 (en) | 2004-05-17 | 2012-07-31 | Assa Abloy Ab | Biometrically authenticated portable access device |
US7583188B2 (en) * | 2004-08-31 | 2009-09-01 | Ingersoll-Rand Company | Software controlled access control door controller |
US20060143292A1 (en) * | 2004-12-28 | 2006-06-29 | Taubenheim David B | Location-based network access |
US20080222426A1 (en) * | 2005-02-10 | 2008-09-11 | Koninklijke Philips Electronics, N.V. | Security Device |
US7706778B2 (en) | 2005-04-05 | 2010-04-27 | Assa Abloy Ab | System and method for remotely assigning and revoking access credentials using a near field communication equipped mobile phone |
JP4822738B2 (en) * | 2005-05-13 | 2011-11-24 | 株式会社日立製作所 | Service authentication system and service authentication method |
US20090320088A1 (en) * | 2005-05-23 | 2009-12-24 | Jasvir Singh Gill | Access enforcer |
US20070055517A1 (en) * | 2005-08-30 | 2007-03-08 | Brian Spector | Multi-factor biometric authentication |
US8183980B2 (en) | 2005-08-31 | 2012-05-22 | Assa Abloy Ab | Device authentication using a unidirectional protocol |
US7586413B2 (en) | 2005-09-01 | 2009-09-08 | Assa Abloy Ab | Human feedback using parasitic power harvesting of RFID tags |
US7437755B2 (en) | 2005-10-26 | 2008-10-14 | Cisco Technology, Inc. | Unified network and physical premises access control server |
US7734572B2 (en) | 2006-04-04 | 2010-06-08 | Panduit Corp. | Building automation system controller |
US20070254713A1 (en) * | 2006-04-28 | 2007-11-01 | Isaac Lagnado | System and method for managing operation of a system based at least in part on a component of the system being physically accessible |
JP2007304785A (en) * | 2006-05-10 | 2007-11-22 | Hitachi Ltd | Building security system, user information generation apparatus and access control method |
US8074271B2 (en) | 2006-08-09 | 2011-12-06 | Assa Abloy Ab | Method and apparatus for making a decision on a card |
US8060620B2 (en) * | 2006-10-05 | 2011-11-15 | Microsoft Corporation | Profile deployment using a generic format |
DE102007004073B4 (en) | 2007-01-26 | 2012-03-01 | Assa Abloy Sicherheitstechnik Gmbh | Locking system with force sensor |
US8203426B1 (en) * | 2007-07-11 | 2012-06-19 | Precision Edge Access Control, Inc. | Feed protocol used to report status and event information in physical access control system |
US8543684B2 (en) | 2007-08-24 | 2013-09-24 | Assa Abloy Ab | Method for computing the entropic value of a dynamical memory system |
US8122497B2 (en) * | 2007-09-10 | 2012-02-21 | Redcloud, Inc. | Networked physical security access control system and method |
US8009013B1 (en) | 2007-09-21 | 2011-08-30 | Precision Control Systems of Chicago, Inc. | Access control system and method using user location information for controlling access to a restricted area |
US8620269B2 (en) * | 2007-12-31 | 2013-12-31 | Honeywell International Inc. | Defining a boundary for wireless network using physical access control systems |
US20090183264A1 (en) * | 2008-01-14 | 2009-07-16 | Qualcomm Incorporated | System and method for protecting content in a wireless network |
US20090195445A1 (en) * | 2008-01-31 | 2009-08-06 | Dehaas Ronald J | System and method for selecting parameters based on physical location of a computer device |
EP2321809B1 (en) | 2008-08-08 | 2013-10-02 | Assa Abloy Ab | Directional sensing mechanism and communications authentication |
US8358783B2 (en) | 2008-08-11 | 2013-01-22 | Assa Abloy Ab | Secure wiegand communications |
US20100137143A1 (en) | 2008-10-22 | 2010-06-03 | Ion Torrent Systems Incorporated | Methods and apparatus for measuring analytes |
DE112010005574B4 (en) * | 2010-05-19 | 2018-01-25 | Toyota Jidosha Kabushiki Kaisha | Vehicle control system |
NZ593855A (en) | 2010-07-02 | 2011-10-28 | Assa Abloy Australia Pty Ltd | Coupling plug lock typically for preventing access to hydraulic or pnuematic line with actuator and detents and lock, typically key in barrel |
US8924715B2 (en) | 2010-10-28 | 2014-12-30 | Stephan V. Schell | Methods and apparatus for storage and execution of access control clients |
US20120297461A1 (en) | 2010-12-02 | 2012-11-22 | Stephen Pineau | System and method for reducing cyber crime in industrial control systems |
US8726348B2 (en) * | 2010-12-15 | 2014-05-13 | The Boeing Company | Collaborative rules based security |
EP2479696A1 (en) | 2011-01-19 | 2012-07-25 | British Telecommunications public limited company | Data security |
CN103547754B (en) * | 2011-02-22 | 2017-05-24 | 斯坦利安全解决方案股份有限公司 | Wireless lock with lockdown |
JP5695455B2 (en) * | 2011-03-08 | 2015-04-08 | 株式会社日立システムズ | Access control system |
US8601541B2 (en) * | 2011-08-15 | 2013-12-03 | Bank Of America Corporation | Method and apparatus for session validation to access mainframe resources |
AU2012100460B4 (en) * | 2012-01-04 | 2012-11-08 | Uniloc Usa, Inc. | Method and system implementing zone-restricted behavior of a computing device |
US8648689B2 (en) * | 2012-02-14 | 2014-02-11 | Ford Global Technologies, Llc | Method and system for detecting door state and door sensor failures |
US8756655B2 (en) | 2012-07-13 | 2014-06-17 | International Business Machines Corporation | Integrated physical access control and information technology (IT) security |
US9609022B2 (en) * | 2014-12-10 | 2017-03-28 | Sybase, Inc. | Context based dynamically switching device configuration |
US10303647B2 (en) * | 2015-07-15 | 2019-05-28 | Mellanox Technologies, Ltd. | Access control in peer-to-peer transactions over a peripheral component bus |
US10282927B1 (en) * | 2017-03-29 | 2019-05-07 | Alarm.Com Incorporated | Access control provisioning |
US10374803B2 (en) * | 2017-10-06 | 2019-08-06 | Stealthpath, Inc. | Methods for internet communication security |
-
2013
- 2013-04-02 US US13/855,543 patent/US9509719B2/en active Active
-
2014
- 2014-03-13 CN CN201480019243.8A patent/CN105378648B/en active Active
- 2014-03-13 KR KR1020157031331A patent/KR102030225B1/en active IP Right Grant
- 2014-03-13 BR BR112015025282-6A patent/BR112015025282B1/en active IP Right Grant
- 2014-03-13 MX MX2015013925A patent/MX356761B/en active IP Right Grant
- 2014-03-13 SG SG11201507955YA patent/SG11201507955YA/en unknown
- 2014-03-13 AU AU2014248457A patent/AU2014248457A1/en not_active Abandoned
- 2014-03-13 EP EP14778361.7A patent/EP2981884B1/en active Active
- 2014-03-13 WO PCT/US2014/026177 patent/WO2014165305A1/en active Application Filing
- 2014-03-13 CA CA2908734A patent/CA2908734C/en active Active
- 2014-03-13 JP JP2016506316A patent/JP6966195B2/en active Active
-
2015
- 2015-10-06 IL IL241867A patent/IL241867B/en unknown
- 2015-11-06 ZA ZA2015/08224A patent/ZA201508224B/en unknown
-
2016
- 2016-08-08 HK HK16109447.2A patent/HK1221309A1/en unknown
- 2016-10-20 US US15/299,384 patent/US10629019B2/en active Active
-
2019
- 2019-08-20 JP JP2019150636A patent/JP7051766B2/en active Active
- 2019-12-04 AU AU2019275589A patent/AU2019275589B2/en active Active
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7051766B2 (en) | Self-provisioning access control | |
JP2016515784A5 (en) | ||
US11354955B2 (en) | Universal access control device | |
JP7079805B2 (en) | Time-limited secure access | |
US8941465B2 (en) | System and method for secure entry using door tokens | |
US8907763B2 (en) | System, station and method for mustering | |
KR102076796B1 (en) | Method and device for controlling anonymous access | |
US8854177B2 (en) | System, method and database for managing permissions to use physical devices and logical assets | |
US20140002236A1 (en) | Door Lock, System and Method for Remotely Controlled Access | |
US10839628B2 (en) | Virtual panel access control system | |
US20120297461A1 (en) | System and method for reducing cyber crime in industrial control systems | |
KR20150032189A (en) | Distribution of user credentials | |
KR20220002948A (en) | Management of data and data usage of IoT networks |